pfSense firewall bloqueando alguns pacotes web de saída, grandes downloads HTTP apenas 'pare'

Navegue suas respostas
0

Acabei de configurar um roteador do pfSense e estou tentando descobrir um comportamento estranho. É uma configuração bastante simples: tenho um IP estático do ISP e uma única interface PPPoE WAN e uma única interface LAN. Eu tenho permitido DNS em todos os lugares através do firewall e navegar na internet geralmente funciona. Estou usando o pfsense 2.1-BETA1 (i386) do dia 19 de março.

Problemas (podem estar relacionados):

  1. Grandes downloads HTTP irão apenas "parar" em algum momento e nunca serão concluídos. Estou tentando baixar um ISO no momento, e ele acabou de desistir de cerca de 103MB de 650MB. Apesar de várias tentativas, os downloads maiores que 50 MB nunca são concluídos.

  2. Estou vendo algumas coisas estranhas nos logs do firewall sobre como bloquear o tráfego de saída na porta 443:

entrada de registro: 

Mar 22 18:25:22 192.168.0.1 pf: 00:00:00.818527 rule 4/0(match): block out on pppoe0: (tos 0x0, ttl 63, id 3535, offset 0, flags [DF], proto TCP (6), length 893)
Mar 22 18:25:22 192.168.0.1 pf:     <publicip>.44395 > 173.194.78.103.443: Flags [FP.], seq 2278533959:2278534812, ack 270462703, win 262, length 853

e 

Mar 22 18:32:10 192.168.0.1 pf: 00:00:22.972286 rule 3/0(match): block in on pppoe0: (tos 0x0, ttl 57, id 39991, offset 0, flags [DF], proto TCP (6), length 84)
Mar 22 18:32:10 192.168.0.1 pf:     173.194.78.103.443 > <publicip>.3684: Flags [FP.], cksum 0x8cdd (correct), seq 1848167695:1848167739, ack 810363008, win 501, length 44

O primeiro parece ser um pacote enviado por mim para um endereço IP do Google com destino à porta 443. O segundo parece ser um pacote do mesmo IP, talvez uma resposta a uma solicitação. Por que isso seria bloqueado? Em um cenário NAT típico, eu esperaria que os pacotes de saída fossem permitidos e o tráfego estabelecido / relacionado fosse permitido de volta.

Se esse tipo de tráfego for bloqueado, por que posso navegar na Web? Por que não está quebrado em todos os lugares?

(estou começando a suspeitar que isso pode ser um problema de MTU ...)

    
por growse 22.03.2013 / 19:35

1 resposta

1

Não é uma resposta direta, mas estou vendo quase exatamente a mesma coisa em um sistema OpenBSD mais novo (candidato a lançamento 5.3). Muitas explosões de pacotes de saída são bloqueadas; muitos com um destino no Google e / ou porta 443; muitos com F (aleta) e P (empurrar) ajustados nas opções. Estes são provenientes de sistemas baseados em Windows e OS X, portanto, não é apenas um bug em nível de sistema operacional nos clientes.

Ao contrário da sua situação, até onde eu sei, os clientes estão se comunicando muito bem com a Net em geral - e também, até onde eu sei, é só eu quem está vendo as falhas subjacentes, lendo o pflog.

Eu ficarei fascinado por qualquer resposta ou especulação sobre o que isso possa ser.

PS: Eu estou em um link PPPoE com max-mss clamped para 1448 para fazer tudo isso funcionar; Não tenho certeza se é semelhante à sua configuração ou não, mas como você mencionou problemas de MTU ...

******* EDIT: ********* Consulte: link ou link

Aparentemente, isso é um comportamento perfeitamente normal envolvendo pacotes FIN duplicados. Eu estou indo só para adicionar uma regra que pega estes para que eles não atravancem o log.

    
por 29.03.2013 / 04:57

Tags

RSS Reader / Downloader em um NAS Altera caracteres no endereço MAC de uma variável