曾经在公司内部测试时,发现Sonicwall对于同网段但没绑在防火墙的外部IP,会认为是伪造IP而挡掉,一时查不到解决方式,就也没再去理会。前阵子有同事反应,某客户的mail寄不进来,我查SPAM没有任何连线纪录,而对方查log确定是我们挡的,并提供IP让我们设白名单,看对方的IP跟我们只差一码,便让我想起当年发现的Sonicwall问题,去防火墙调纪录后,果然看到”IP欺骗下降”的讯息。
上网搜寻资料,有网友提供说可以在网址后面加入/diag.html,进入隐藏的设定画面,把”IP欺骗检查”拿掉后即可,但有网友反应,拿掉后虽然log没出现”IP欺骗下降”了,但实际流量还是没法通过,另外还有人改完后,用了一段时间整台防火墙就挂了,重刷韧体才好,因此我便没有尝试。
此问题看起来是Sonicwall认为同网段的IP不该由外部连进来,而偏偏ISP给的遮罩常常是/24,导致明明是不同地点的IP,却属于同网段的情形,知道原因后,便试着从遮罩下手。以我们的IP来说,范围是*.*.*.55~60,以255.255.255.240的遮罩来说,IP范围为*.*.*.49~62,已包含我们所有IP,因此将WAN端的遮罩改成255.255.255.240即可,请对方再重试后,就不会被判断成同网段的IP了。
【相关连结】
- 如何避免上的SonicWALL TZ系列防火墙入侵检测/防欺骗问题 – Server Fault
- SonicWall的块中的有效WAN IP地址为 “IP欺骗”