Я только что настроил маршрутизатор pfSense и пытаюсь выяснить какое-то странное поведение. Это довольно простая настройка: у меня есть статический IP-адрес от интернет-провайдера и один интерфейс WAN PPPoE и один интерфейс локальной сети. Я разрешил DNS везде через брандмауэр, и работа в Интернете обычно работает. Я использую pfsense 2.1-BETA1 (i386) с 19 марта.
Проблемы (они могут быть связаны):
Большие загрузки HTTP просто «остановятся» в какой-то момент и никогда не завершатся. Я пытаюсь загрузить ISO в данный момент, и он только что сдал около 103 МБ из 650 МБ. Несмотря на несколько попыток, загрузка размером более 50 МБ никогда не завершается.
Я вижу некоторые странные вещи в журналах брандмауэра о блокировке исходящего трафика через порт 443:
запись в журнале:
Mar 22 18:25:22 192.168.0.1 pf: 00:00:00.818527 rule 4/0(match): block out on pppoe0: (tos 0x0, ttl 63, id 3535, offset 0, flags [DF], proto TCP (6), length 893)
Mar 22 18:25:22 192.168.0.1 pf: <publicip>.44395 > 173.194.78.103.443: Flags [FP.], seq 2278533959:2278534812, ack 270462703, win 262, length 853
а также
Mar 22 18:32:10 192.168.0.1 pf: 00:00:22.972286 rule 3/0(match): block in on pppoe0: (tos 0x0, ttl 57, id 39991, offset 0, flags [DF], proto TCP (6), length 84)
Mar 22 18:32:10 192.168.0.1 pf: 173.194.78.103.443 > <publicip>.3684: Flags [FP.], cksum 0x8cdd (correct), seq 1848167695:1848167739, ack 810363008, win 501, length 44
Первым представляется пакет от меня до IP-адреса Google, привязанного к порту 443. Вторым представляется пакет с того же IP-адреса, возможно, ответ на запрос. Почему это будет заблокировано? В типичном сценарии NAT я бы ожидал, что исходящие пакеты будут разрешены, а установленный / связанный трафик будет разрешен обратно.
Если этот тип трафика заблокирован, почему я в противном случае могу просматривать веб-страницы? Почему он не сломан везде?
(редактировать: я начинаю подозревать, что это может быть проблема MTU ...)