Мы используем брандмауэр pfSense со статическим общедоступным IP-адресом. TCP-порт 25 перенаправляется на почтовый сервер в DMZ в точном соответствии с указаниями Вот. Это отлично подходит для большинства отправителей, и электронная почта успешно пересылается на адрес внутреннего почтового сервера.
Однако некоторые законные отправители блокируются на порту 25 на брандмауэре, а не перенаправляются на почтовый сервер. Я знаю, что pfSense блокирует материалы с истекшим / неправильным состоянием и т. Д. Даже на законных портах, но это обычный трафик от известного отправителя электронной почты, который блокируется. Для отправителя в таблице состояний нет записей. Я также посмотрел на Руководство по устранению неполадок переадресации портов pfSense без везения.
Я захватил трафик от рассматриваемого внешнего отправителя; это TCP-порт 25 с флагом SYN и хорошей контрольной суммой заголовка, который определенно блокируется на внешнем интерфейсе, но, похоже, не отличается от пакетов, которые пересылаются должным образом.
Вот запись в журнале для заблокированного отправителя:
pf: 2. 858929 rule 34/0(match): block in on fxp0: (tos 0x0, ttl 117, id 41529, offset 0, flags [DF], proto TCP (6), length 48) [blocked-sender-ip].34056 > [internal-dmz-email-ip].25: S, cksum 0x68f8 (correct), 3080958461:3080958461(0) win 65535 <mss 1460,nop,nop,sackOK>
И один для успешного отправителя, который выглядит очень похоже:
pf: 288804 rule 51/0(match): pass in on fxp0: (tos 0x0, ttl 111, id 34646, offset 0, flags [DF], proto TCP (6), length 48) [successful-sender-ip].2474 > [internal-dmz-email-ip].25: S, cksum 0xcf9c (correct), 1409725583:1409725583(0) win 65535 <mss 1460,nop,nop,sackOK>
Есть идеи, что здесь происходит?
PFSense имеет несколько правил по умолчанию, определяющих, откуда может поступать трафик на интерфейсе WAN.
Например, вы можете указать ему отбрасывать любой трафик в WAN, имеющий частный IP-адрес (192.168, 10.0 или 172.0), потому что во многих сценариях вы никогда не должны видеть частный IP-адрес в WAN. Однако также во многих случаях вы БУДЕТЕ (если pfSense находится ВНУТРИ сети, а не на периферии).
Он также заблокирует диапазоны IP-адресов, которые не официально выделены кому-либо, так как они якобы никогда не предназначены для наблюдения в дикой природе.
Вы можете отключить эти параметры в расширенном меню в конфигурации (я думаю, что это не так) или, возможно, на экране конфигурации WAN.
Я собираюсь предложить начать с этих двух вариантов, потому что по какой-либо причине трафик может исходить из частного диапазона IP-адресов (почтовый фильтр, антивирусный сканер, что угодно), но попадать в порт WAN, ИЛИ, новый блок IP-адресов было выделено, и PFSense не обновляет свои списки.