pfSense CARP - 防火牆上的 WAN 故障

我最近使用 pfSense 配置了 2 個防火牆（在 2 個帶有 ESXI 5.1 的 DELL PowerEdge R210II 上）。我們有幾個 LAN 和 2 個 WAN。一切執行良好，但我有一個奇怪的行為：我可以從所有 LAN 訪問網際網路，但不能從防火牆（本身）訪問。例如，防火牆無法檢索包資訊，或者如果我設置了網關監控 IP（如 Google 8.8.8.8），則會失敗。

這些是防火牆配置的截圖：http: //imgur.com/a/LNuMz#0

ATM 我將防火牆規則保持在最低限度，以避免出現問題或衝突。

關於如何解決問題的任何想法？

問題是提供商在提供網際網路連接的路由器上錯誤配置了 NAT 1on1 和 ACL。

再次感謝您的幫助。

我會嘗試在您的網關 172.16.1.254 上執行 tcpdump（或在 cisco 路由器上進行“調試”），以確保流量實際上正確流出，並且不會通過路由循環或其他方式被黑洞。我不認為這將是防火牆規則，但您可以在每個規則上啟用調試以確保和 tail -f 日誌。如果規則被阻止，它將顯示在日誌中

此外，手動出站 nat 可能會破壞一些東西，所以我也會檢查一下。您也可以在 freebsd 盒子 (pfsense) 上放置 shell 並在那裡執行 tcpdump。最後，您可以通過 xml 文件“備份”您的 pfsense 配置，然後恢復出廠設置。一次添加/更改一件事，直到您複製問題。從 xml 文件恢復配置並修復罪魁禍首。

引用自：https://serverfault.com/questions/600938