Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Блокировка исходящих пакетов на веб сервk

    Scheduled Pinned Locked Moved Russian
    5 Posts 2 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      apacen
      last edited by

      Привет,
      в сети за pfsense стоит веб-вервер c ip www.www.www.www,
      в логе постоянно сыпятся от записи о блокировках:
      00:00:01.228724 rule 1/0(match): block in on bge1: www.www.www.www.80 > xxx.xxx.xxx.xxx.41635: [|tcp]
      00:00:01.129280 rule 1/0(match): block in on bge1: www.www.www.www.80 > yyy.yyy.yyy.yyy.59265: [|tcp]
      …
      00:00:02.126215 rule 1/0(match): block in on bge1: www.www.www.www.80 > zzz.zzz.zzz.zzz.60935: [|tcp]
      хотя я могу зайти на сервер из вне.
      На Pfsense установил правила на всех интерфейсах: все для всех по любому протоколу, но это не помогло.

      Вот что показывает строка блокировки в логах в веб-конфигуратора:
      @1 scrub in on bge1 all fragment reassemble
      @1 block drop in log all label "Default deny rule"

      Подскажите, почему возникают блокировки?

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        2 apacen

        http://forum.pfsense.org/index.php?topic=33562.0

        You are probably seeing out-of-state traffic getting blocked. That is, traffic from a state that was removed but still received a packet (usually a TCP FIN) after the removal happened.

        If you really want to bypass both the rules and the states, you could try adding floating rules to pass the traffic from that machine in and out on lan and wan with a state type of "no state". I haven't tried it so I can't say for sure how well it would work, but it may be worth trying.

        1 Reply Last reply Reply Quote 0
        • A
          apacen
          last edited by

          Не уверен, что правильно понял, не обращать внимания на эти блокировки?
          В логах фаервола в столбце proto такие значения:
          TCP:R
          TCP:RA
          TCP:FA
          TCP:A
          TCP:FPA

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            @apacen:

            Не уверен, что правильно понял …

            Да , поняли неправильно.

            you could try adding floating rules to pass the traffic from that machine in and out on lan and wan with a state type of "no state"

            Язык потенциального противника нужно знать или стараться знать.

            1 Reply Last reply Reply Quote 0
            • A
              apacen
              last edited by

              Спасибо!
              Помогло добавление  Floating правила, разрешающего все для всех с установленным State Type <none>:

                        • none
                          но до этого пытался сделать Floating правила только для Web-сервера, на вход и выход, но блокировки продолжали "сыпаться" в логи.
                          Кстати, я заметил что такие блокировки возникают не только на веб-сервере, просто на нем их больше всего.
                          Можете объяснить, откуда могут браться эти out of state, и как сделать, чтобы заработали правила не все для всех, а конкретно по каждому хосту?</none>
              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.