我有一个pfSense防火墙,有一个广域网与多个公共IP地址。 我使用NAT将某些外部IP端口转发到内部IP。
除了同一个国家,我可以连接任何地方 当我国内的任何人尝试连接到任何外部IP地址和端口时,它们都不成功。 我已经捕获了广域网接口上的数据包,我看到他们进来。
我已经加倍检查,确实有一个广域网规则,允许访问的端口NAT到我打算他们的服务器。 我们没有Geo IP检查或任何基于IP地址的规则来阻止到这些服务器的stream量。
– 我注意到了工作连接和非工作连接的区别
在pfSense上使用数据包捕获(用###。###replace一些数字,这些数字全部是相同的数字)
Non working connection: 22:26:25.140803 IP 190.150.206.159.50852 > 190.###.###.2.80: tcp 0 22:26:25.140828 ARP, Request who-has 190.150.206.159 tell 190.###.###.3, length 28 Working Connection: 22:24:26.164293 IP 24.189.161.72.5550 > 190.###.###.2.80: tcp 0 22:24:26.164305 IP 190.###.###.2.80 > 24.189.161.72.5550: tcp 1460 从另一个端口上的一个PC到另一个WAN IP地址(Same PFSense)的另一个连接
Non Working computer 09:39:05.612067 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0 09:39:08.610073 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0 09:39:14.608856 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0 Working Computer 09:41:04.412975 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 85 09:41:04.459077 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0 09:41:04.492887 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 101 09:41:04.537100 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0 09:41:06.177903 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 101 09:41:06.309178 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 0
我看到在防火墙,它是允许的,但我不知道是什么阻止它。
感谢@ dusan.bajic的方向。
虚拟IP上的子网掩码
190.###.###.6/8 190.###.###.5/8 190.###.###.4/8 190.###.###.3/8
把他们都改了
190.###.###.6/24 190.###.###.5/24 190.###.###.4/24 190.###.###.3/24
这使得更有意义。 现在外部IP不会被认为是内部的,一切正常。