Firewall
無法訪問我自己國家/地區的 IP 地址。pfSense 顯示數據包命中 WAN
我有一個 pfSense 防火牆,它有一個帶有多個公共 IP 地址的 WAN。我使用 NAT 將某些外部 IP 埠轉發到內部 IP。
我可以從同一個國家以外的任何地方連接。當我所在國家/地區的任何人嘗試連接到任何外部 IP 地址和埠時,他們都不成功。我已經在 WAN 介面上擷取了數據包,並且看到它們進來了。
我已經仔細檢查過,確實有一條 WAN 規則允許訪問的埠通過 NAT 到達我打算訪問的伺服器。我們沒有地理 IP 檢查或任何基於 IP 地址的規則來阻止到這些伺服器的流量。
– 我注意到工作連接和非工作連接之間的區別
在 pfSense 上使用數據包擷取(用 ###.### 替換一些數字,這些數字對所有人來說都是相同的)
Non working connection: 22:26:25.140803 IP 190.150.206.159.50852 > 190.###.###.2.80: tcp 0 22:26:25.140828 ARP, Request who-has 190.150.206.159 tell 190.###.###.3, length 28 Working Connection: 22:24:26.164293 IP 24.189.161.72.5550 > 190.###.###.2.80: tcp 0 22:24:26.164305 IP 190.###.###.2.80 > 24.189.161.72.5550: tcp 1460
從不同埠上的 pc 到不同 WAN IP 地址的另一個連接(相同的 PFSense)
Non Working computer 09:39:05.612067 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0 09:39:08.610073 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0 09:39:14.608856 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0 Working Computer 09:41:04.412975 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 85 09:41:04.459077 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0 09:41:04.492887 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 101 09:41:04.537100 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0 09:41:06.177903 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 101 09:41:06.309178 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 0
我在防火牆中看到它是允許的,但我不知道是什麼阻止了它。
謝謝@dusan.bajic 的指導。
虛擬 IP 上的子網遮罩
190.###.###.6/8 190.###.###.5/8 190.###.###.4/8 190.###.###.3/8
將它們全部更改為
190.###.###.6/24 190.###.###.5/24 190.###.###.4/24 190.###.###.3/24
這更有意義。現在外部 IP 將不被視為內部 IP,一切正常。