Блокировка исходящих пакетов на веб сервk



  • Привет,
    в сети за pfsense стоит веб-вервер c ip www.www.www.www,
    в логе постоянно сыпятся от записи о блокировках:
    00:00:01.228724 rule 1/0(match): block in on bge1: www.www.www.www.80 > xxx.xxx.xxx.xxx.41635: [|tcp]
    00:00:01.129280 rule 1/0(match): block in on bge1: www.www.www.www.80 > yyy.yyy.yyy.yyy.59265: [|tcp]

    00:00:02.126215 rule 1/0(match): block in on bge1: www.www.www.www.80 > zzz.zzz.zzz.zzz.60935: [|tcp]
    хотя я могу зайти на сервер из вне.
    На Pfsense установил правила на всех интерфейсах: все для всех по любому протоколу, но это не помогло.

    Вот что показывает строка блокировки в логах в веб-конфигуратора:
    @1 scrub in on bge1 all fragment reassemble
    @1 block drop in log all label "Default deny rule"

    Подскажите, почему возникают блокировки?



  • 2 apacen

    http://forum.pfsense.org/index.php?topic=33562.0

    You are probably seeing out-of-state traffic getting blocked. That is, traffic from a state that was removed but still received a packet (usually a TCP FIN) after the removal happened.

    If you really want to bypass both the rules and the states, you could try adding floating rules to pass the traffic from that machine in and out on lan and wan with a state type of "no state". I haven't tried it so I can't say for sure how well it would work, but it may be worth trying.



  • Не уверен, что правильно понял, не обращать внимания на эти блокировки?
    В логах фаервола в столбце proto такие значения:
    TCP:R
    TCP:RA
    TCP:FA
    TCP:A
    TCP:FPA



  • @apacen:

    Не уверен, что правильно понял …

    Да , поняли неправильно.

    you could try adding floating rules to pass the traffic from that machine in and out on lan and wan with a state type of "no state"

    Язык потенциального противника нужно знать или стараться знать.



  • Спасибо!
    Помогло добавление  Floating правила, разрешающего все для всех с установленным State Type <none>:

              • none
                но до этого пытался сделать Floating правила только для Web-сервера, на вход и выход, но блокировки продолжали "сыпаться" в логи.
                Кстати, я заметил что такие блокировки возникают не только на веб-сервере, просто на нем их больше всего.
                Можете объяснить, откуда могут браться эти out of state, и как сделать, чтобы заработали правила не все для всех, а конкретно по каждому хосту?</none>

Locked