pfSense: не может фильтровать поток многоадресных пакетов, заблокированных по умолчанию
В нашей локальной сети есть несколько устройств в разных подсетях, отправляющих поток многоадресных пакетов. Я пытался разрешить этот тип трафика, но похоже, что это не работает.
Оказалось, баг с pfSense. Это было решено в версии 2.2.3.
Вот отчет об ошибке: https://redmine.pfsense.org/issues/4772
Если подсеть L2TP перекрывает подсеть, содержащую целевой порт переадресации, и включен автоматический исходящий NAT для отражения, то может быть сгенерирован недопустимый набор правил.
Скорее всего, у вас нет необходимости позволять это. Просто добавьте правило блокировки в LAN, любой протокол, любой источник, сеть назначения 239.192.0.0/16 и не включайте ведение журнала. Он должен быть вверху списка перед любыми другими правилами соответствия. Правило, которое вы добавили для этого UDP, никогда не будет совпадать, потому что правило, указанное выше, соответствует первому и первому совпадению.
Также имеется ошибка в версиях 2.2.x до 2.2.3, когда все пакеты с установленными параметрами IP регистрируются независимо от того, включено ли ведение журнала для правила сопоставления. Релиз 2.2.3 скоро появится, или его снимки доступны по адресу https://snapshots.pfsense.org который исправляет это. Пока вы не используете 2.2.3, он будет регистрировать этот многоадресный трафик независимо от конфигурации.