我有一个基于 Ubuntu 14 的防火墙,运行通过 FWBuilder 配置的 IP 表。如果我通过 ssh 连接到防火墙并运行
openssl s_client -connect 176.34.155.20:443
我收到了全套回复
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=Pennsylvania/L=Paoli/O=Duck Duck Go,
Inc./CN=*.duckduckgo.com
等等(返回的内容还有很多),但如果我在客户端(Mac OS X 10.10.5 客户端或 Linux Raspbrian 7 客户端)上尝试,通过防火墙访问网络,我得到的返回内容是
CONNECTED(00000003)
仅此而已。
现在并非所有网站都是如此。https://www.google.co.uk在客户端和防火墙上都可以工作,但显然https://www.duckduckgo.com没有,所以这与这些网站使用的 TLS 有关。我对一些 IMAP over SSL/TLS 主机也遇到了同样的问题,但不是全部……它确实可以工作,直到最近的网络中断需要重新启动防火墙,但现在不行了。
我无法理解为什么我没有收到回复,我周围的 SA 也想不出任何解决方案。有什么想法吗?