我最近用 pfSense 配置了 2 个防火墙(在 2 台装有 ESXI 5.1 的 DELL PowerEdge R210II 上)。我们有多个 LAN 和 2 个 WAN。一切运行正常,但我遇到了一个奇怪的现象:我可以从所有 LAN 访问互联网,但不能从防火墙(本身)访问。例如,防火墙无法检索包信息,或者如果我设置网关监视器 IP(如 Google 8.8.8.8),则会失败。
这些是防火墙配置的屏幕截图:https://i.stack.imgur.com/os7vg.jpg
ATM 我将防火墙规则保持在最低限度以避免出现问题或冲突。
关于如何解决这个问题有什么想法吗?
答案1
我会尝试在网关 172.16.1.254 上运行 tcpdump(或在 cisco 路由器上运行“调试”),以确保流量确实正确流出,并且不会通过路由循环或其他方式被黑洞。我不认为这是防火墙规则的问题,但您可以在每条规则上启用调试以确保并 tail -f 日志。如果规则被阻止,它将显示在日志中
此外,手动出站 nat 可能会破坏某些东西,所以我也会检查一下。您还可以在 freebsd 框(pfsense)上放置 shell,并在那里运行 tcpdump。最后,您可以通过 xml 文件“备份”您的 pfsense 配置,然后恢复出厂设置。一次添加/更改一件事,直到您复制该问题。从 xml 文件恢复配置并修复罪魁祸首。
答案2
问题在于提供商在提供互联网连接的路由器上错误配置了 NAT 1on1 和 ACL。
再次感谢你的帮助。