我们正在使用带有静态公共IP的pfSense防火墙。 根据这里的说明 ,TCP端口25被转发到DMZ上的邮件服务器。 这对大多数发件人都很有用,而且电子邮件已成功转发到内部邮件服务器地址。
但是,一些合法的发件人在防火墙的端口25被阻塞,而不是端口转发到电子邮件服务器。 我知道pfSense甚至在合法的端口上阻塞了过期/不正确状态的东西,但是这是来自已知电子邮件发件人的正常stream量被阻止。 状态表中的发件人不存在任何条目。 我也看了pfSense端口转发故障排除指南 ,没有运气。
我已经捕获了外部发件人的stream量。 它的TCP端口25有一个SYN标志和良好的头部校验和,在外部接口上绝对被阻塞,但看起来与正确转发的包看起来不一样。
以下是被阻止的发件人的日志条目:
pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK> 而一个成功的发件人看起来很相似:
pf: 288804 rule 51/0(match): pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>
任何想法发生了什么?
PFSense有一个关于WAN接口上的stream量来自何处的默认规则。
例如,您可以告诉它删除具有专用IP地址(192.168,10.0或172.0)的广域网上的所有stream量,因为在很多情况下,您绝对不应该在广域网上看到专用IP。 但是,在很多情况下,您也会(如果pfSense坐在networking内部,而不是边缘)。
它也会阻止没有正式分配给任何人的IP范围,因为它们本来不应该被认为是在野外。
您可以在configuration中的高级菜单(我认为是在我的头顶)closures这些选项,或者可能在WANconfiguration屏幕中。
我将build议这两个选项是开始的地方,因为无论出于何种原因,stream量可能来源于私有IP范围(邮件filter,病毒扫描器等等),而是触及WAN端口,或者是新的块的IP范围已被分配和PFSense是不是最新的列表。