好的,我有一台 SonicWall TZ 205,它为小型办公室提供周边安全保护。我的问题的关键是,用户无法通过公有 IP当在此设备后面时。
现状
:3这里涉及 2 个区域和 2 个边界设备。
区: 古老的互联网
设备:标准 ISP 提供的电缆调制解调器(输出:公共 IP在:192.168.1.1)
区:与不相关且不受控制的路由器/设备共享的“proto dmz”网络
设备:TZ 205 GW(出:192.168.1.10 输入:10.1.1.254)
区:办公室局域网
注意:两个设备上都设置了端口映射规则,并且运行正常。此外,虽然我可以配置调制解调器,但我无法将其他设备置于 GW 后面。(将它们视为其他租户)因此,我不能走明显的捷径,只需将公共 IP 分配给 GW。
流量可从 WAN 发出并流向 LAN 上已发布的主机,反之亦然。甚至从 LAN 到 192.168.1.10 的流量也可正常允许。
但是,从 LAN 到公共 IP 的内部服务(例如 https)的流量会被丢弃,并显示“Land 攻击被丢弃”消息。例如
源 192.168.1.10,28827,X1
目标 192.168.1.10,80
我大致知道该过滤器在寻找什么,但你如何告诉它豁免这个特定的流量?我就是搞不清楚设置在哪里或要制定什么规则。我觉得我错过了一些显而易见的东西 :-\
答案1
防火墙认为这是 LAND 攻击,因为这些数据包的源 IP 地址和目标 IP 地址相同。您可以通过将出站数据包的源转换为另一个地址(例如 192.168.1.11)来解决此问题