pfSense 埠轉發電子郵件會阻止某些發件人

我們正在使用具有靜態公共 IP 的 pfSense 防火牆。完全按照此處的說明將 TCP 埠 25 轉發到 DMZ 上的郵件伺服器。這對大多數發件人都很有效，並且電子郵件已成功轉發到內部郵件伺服器地址。

但是，一些合法發件人在防火牆的埠 25 上被阻止，而不是埠轉發到電子郵件伺服器。我知道 pfSense 即使在合法埠上也會阻止具有過期/不正確狀態等的內容，但這是來自已知電子郵件發件人的正常流量，已被阻止。狀態表中不存在發件人的條目。我還查看了pfSense 埠轉發故障排除指南，但沒有運氣。

我已經從有問題的外部發件人那裡擷取了流量；它是帶有 SYN 標誌和良好標頭校驗和的 TCP 埠 25，肯定在外部介面被阻止，但看起來與正確轉發的數據包沒有什麼不同。

這是被阻止發件人的日誌條目：

pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK>

還有一個看起來非常相似的成功發件人：

pf: 288804 rule 51/0(match):  pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>

知道這裡發生了什麼嗎？

PFSense 有一個關於流量可以來自 WAN 介面的預設規則。

例如，您可以告訴它丟棄 WAN 上具有私有 IP 地址（192.168、10.0 或 172.0）的任何流量，因為在很多情況下，您永遠不會在 WAN 上看到私有 IP。但是，在很多情況下，您也願意（如果 pfSense 位於網路內部，而不是在邊緣）。

它還將阻止未正式分配給任何人的 IP 範圍，因為它們被認為永遠不會在野外看到。

您可以在“配置”中的“高級”菜單下關閉這些選項（我認為是，在我的腦海中），或者可能在 WAN 配置螢幕中。

我將建議這兩個選項是開始的地方，因為無論出於何種原因，流量都可能來自私有 IP 範圍（郵件過濾器、病毒掃描程序等）但到達 WAN 埠，或者，一個新的塊的 IP 範圍已分配且 PFSense 未更新其列表。

引用自：https://serverfault.com/questions/70552