曾經在公司內部測試時,發現Sonicwall對於同網段但沒綁在防火牆的外部IP,會認為是偽造IP而擋掉,一時查不到解決方式,就也沒再去理會。前陣子有同事反應,某客戶的mail寄不進來,我查SPAM沒有任何連線紀錄,而對方查log確定是我們擋的,並提供IP讓我們設白名單,看對方的IP跟我們只差一碼,便讓我想起當年發現的Sonicwall問題,去防火牆調紀錄後,果然看到”ip spoof dropped”的訊息。
上網搜尋資料,有網友提供說可以在網址後面加入/diag.html,進入隱藏的設定畫面,把”IP Spoof checking”拿掉後即可,但有網友反應,拿掉後雖然log沒出現”ip spoof dropped”了,但實際流量還是沒法通過,另外還有人改完後,用了一段時間整台防火牆就掛了,重刷韌體才好,因此我便沒有嘗試。
此問題看起來是Sonicwall認為同網段的IP不該由外部連進來,而偏偏ISP給的遮罩常常是/24,導致明明是不同地點的IP,卻屬於同網段的情形,知道原因後,便試著從遮罩下手。以我們的IP來說,範圍是*.*.*.55~60,以255.255.255.240的遮罩來說,IP範圍為*.*.*.49~62,已包含我們所有IP,因此將WAN端的遮罩改成255.255.255.240即可,請對方再重試後,就不會被判斷成同網段的IP了。
【相關連結】