Smtp

pfSense 埠轉發電子郵件會阻止某些發件人

  • June 19, 2020

我們正在使用具有靜態公共 IP 的 pfSense 防火牆。完全按照此處的說明將 TCP 埠 25 轉發到 DMZ 上的郵件伺服器。這對大多數發件人都很有效,並且電子郵件已成功轉發到內部郵件伺服器地址。

但是,一些合法發件人在防火牆的埠 25 上被阻止,而不是埠轉發到電子郵件伺服器。我知道 pfSense 即使在合法埠上也會阻止具有過期/不正確狀態等的內容,但這是來自已知電子郵件發件人的正常流量,已被阻止。狀態表中不存在發件人的條目。我還查看了pfSense 埠轉發故障排除指南,但沒有運氣。

我已經從有問題的外部發件人那裡擷取了流量;它是帶有 SYN 標誌和良好標頭校驗和的 TCP 埠 25,肯定在外部介面被阻止,但看起來與正確轉發的數據包沒有什麼不同。

這是被阻止發件人的日誌條目:

pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK>

還有一個看起來非常相似的成功發件人:

pf: 288804 rule 51/0(match):  pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>

知道這裡發生了什麼嗎?

PFSense 有一個關於流量可以來自 WAN 介面的預設規則。

例如,您可以告訴它丟棄 WAN 上具有私有 IP 地址(192.168、10.0 或 172.0)的任何流量,因為在很多情況下,您永遠不會在 WAN 上看到私有 IP。但是,在很多情況下,您也願意(如果 pfSense 位於網路內部,而不是在邊緣)。

它還將阻止未正式分配給任何人的 IP 範圍,因為它們被認為永遠不會在野外看到。

您可以在“配置”中的“高級”菜單下關閉這些選項(我認為是,在我的腦海中),或者可能在 WAN 配置螢幕中。

我將建議這兩個選項是開始的地方,因為無論出於何種原因,流量都可能來自私有 IP 範圍(郵件過濾器、病毒掃描程序等)但到達 WAN 埠,或者,一個新的塊的 IP 範圍已分配且 PFSense 未更新其列表。

引用自:https://serverfault.com/questions/70552