Firewall

無法訪問我自己國家/地區的 IP 地址。pfSense 顯示數據包命中 WAN

  • December 23, 2015

我有一個 pfSense 防火牆,它有一個帶有多個公共 IP 地址的 WAN。我使用 NAT 將某些外部 IP 埠轉發到內部 IP。

我可以從同一個國家以外的任何地方連接。當我所在國家/地區的任何人嘗試連接到任何外部 IP 地址和埠時,他們都不成功。我已經在 WAN 介面上擷取了數據包,並且看到它們進來了。

我已經仔細檢查過,確實有一條 WAN 規則允許訪問的埠通過 NAT 到達我打算訪問的伺服器。我們沒有地理 IP 檢查或任何基於 IP 地址的規則來阻止到這些伺服器的流量。

– 我注意到工作連接和非工作連接之間的區別

在 pfSense 上使用數據包擷取(用 ###.### 替換一些數字,這些數字對所有人來說都是相同的)

Non working connection:    
22:26:25.140803 IP 190.150.206.159.50852 > 190.###.###.2.80: tcp 0
22:26:25.140828 ARP, Request who-has 190.150.206.159 tell 190.###.###.3, length 28

Working Connection:
22:24:26.164293 IP 24.189.161.72.5550 > 190.###.###.2.80: tcp 0
22:24:26.164305 IP 190.###.###.2.80 > 24.189.161.72.5550: tcp 1460

從不同埠上的 pc 到不同 WAN IP 地址的另一個連接(相同的 PFSense)

Non Working computer
09:39:05.612067 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0
09:39:08.610073 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0
09:39:14.608856 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0

Working Computer
09:41:04.412975 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 85
09:41:04.459077 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0
09:41:04.492887 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 101
09:41:04.537100 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0
09:41:06.177903 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 101
09:41:06.309178 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 0

我在防火牆中看到它是允許的,但我不知道是什麼阻止了它。

謝謝@dusan.bajic 的指導。

虛擬 IP 上的子網遮罩

190.###.###.6/8
190.###.###.5/8
190.###.###.4/8
190.###.###.3/8

將它們全部更改為

190.###.###.6/24
190.###.###.5/24
190.###.###.4/24
190.###.###.3/24

這更有意義。現在外部 IP 將不被視為內部 IP,一切正常。

引用自:https://serverfault.com/questions/744879