我们的一位用户无法从我们的 pfSense 防火墙后面访问单个网站。该网站仅支持 SSL,当她尝试连接时,她CONNECTION_REFUSED在 Chrome 中获得了一个。我们已经使用多个 WAN 对此进行了测试,遇到了同样的问题。当我们通过任何 WAN 链接(不通过 pfSense)直接访问站点时,它工作得很好。Runningtraceroute提供的信息一直到对方站点的边缘,这和他们刚拒绝是一致的ICMP。名称解析也返回准确的结果。pfSense 没有报告任何出站流量被阻止,据另一端的人所知,他们的边缘防火墙也没有阻止流量。我们在访问其他网站时没有任何已知问题。这里可能是什么问题?
还在发生吗?我没有明确的答案,但我有一些建议:
当从某个拓扑接近但在防火墙之外的地方进行跟踪路由时,您是否获得了相同的路径?
目的地是否可以做一些事情,比如阻止来自特定平台的传入连接(通过 p0f 或类似的)?
您可以使用 pfSense 的数据包捕获来观察连接被拒绝的情况吗?
您能否嗅探防火墙外的流量,以确保拒绝是否发生在 pfSense 框内?