我们使用具有静态公共 IP 的 pfSense 防火墙。TCP 端口 25 被转发到 DMZ 上的邮件服务器,完全按照指示这里。这对于大多数发件人来说效果很好,并且电子邮件被成功转发到内部邮件服务器地址。
但是,一些合法发件人在防火墙的 25 端口上被阻止,而不是通过端口转发到电子邮件服务器。我知道 pfSense 即使在合法端口上也会阻止过期/状态不正确等内容,但这是来自已知电子邮件发件人的常规流量,这些流量被阻止了。状态表中没有发件人的条目。我还查看了pfSense 端口转发故障排除指南没有运气。
我捕获了有问题的外部发送者的流量;它是带有 SYN 标志和良好报头校验和的 TCP 端口 25,肯定在外部接口被阻止,但看起来与正确转发的数据包没有什么不同。
这是被阻止的发件人的日志条目:
pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK>
成功发送者的信息与此非常相似:
pf: 288804 rule 51/0(match): pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>
知道这里发生什么事了吗?
答案1
PFSense 对 WAN 接口上的流量来源有一系列默认规则。
例如,您可以告诉它丢弃 WAN 上具有私有 IP 地址(192.168、10.0 或 172.0)的任何流量,因为在很多情况下,您永远不应该在 WAN 上看到私有 IP。但是,在很多情况下您也会看到(如果 pfSense 位于网络内部,而不是边缘)。
它还会阻止以下 IP 范围:正式分配给任何人,因为它们本来就不应该在野外被看到。
您可以在配置中的高级菜单下关闭这些选项(我认为是的,这是我的脑海中想到的),或者可能在 WAN 配置屏幕中关闭这些选项。
我建议从这两个选项开始,因为无论出于何种原因,流量可能来自私有 IP 范围(邮件过滤器、病毒扫描程序等)但到达 WAN 端口,或者已分配新的 IP 范围块并且 PFSense 并未及时更新其列表。