一些通过 NAT 的 HTTPS 连接会失败,但防火墙本身可以工作

一些通过 NAT 的 HTTPS 连接会失败,但防火墙本身可以工作

我无法从内部机器建立一些 HTTPS 连接,即使这些连接在防火墙本身上启动时可以正常工作。

防火墙机器运行的是 Ubuntu 10.04.1 和 shorewall 4.4.6。互联网连接是 Bell PPPoE DSL(在加拿大)。我尝试了各种 MTU 设置,似乎没有什么区别。其他协议(HTTP、FTP 等)通常都可以使用。

该问题似乎仅限于某些站点;这个站点从来都不能从内部机器上运行,但总是从防火墙本身上运行:

从内部机器:

$ wget https://images.fedex.com/images/ascend/shared/headers/nxgen/corp_logo.gif
--2011-01-13 20:51:31-- https://images.fedex.com/images/ascend/shared/headers/nxgen/corp_logo.gif
Resolving images.fedex.com... 184.24.96.69
Connecting to images.fedex.com|184.24.96.69|:443... connected.
^C

从防火墙:

$ wget https://images.fedex.com/images/ascend/shared/headers/nxgen/corp_logo.gif
--2011-01-13 20:58:28-- https://images.fedex.com/images/ascend/shared/headers/nxgen/corp_logo.gif
Resolving images.fedex.com... 184.24.96.69
Connecting to images.fedex.com|184.24.96.69|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 840 [image/gif]
Saving to: `corp_logo.gif'
2011-01-13 20:58:28 (149 MB/s) - `corp_logo.gif' saved [840/840]

此 URL 始终适用于内部和防火墙: https://encrypted.google.com/images/logos/ssl_logo_lg.gif

任何故障排除提示都将不胜感激!

答案1

虽然防火墙上的 MTU 变化(PPPoE 设置)从未产生任何影响,但减少客户端机器上的 MTU 可以解决问题。1500 -> 1454,效果很好。

相关内容