曾经在公司内部测试时,发现Sonicwall对于同网段但没绑定在防火墙的外部IP,会认为是伪造IP而挡掉,一时查不到解决方式,就也没再去理会。前阵子有同事反应,某客戶的mail寄不進來,我查SPAM沒有任何連線紀錄,而對方查log確定是我們擋的,並提供IP讓我們設白名單,看對方的IP跟我們只差一碼,便讓我想起當年發現的Sonicwall問題,去防火牆調紀錄後,果然看到”IP 欺骗被丢弃”的信息。
上網搜尋資料,有網友提供說可以在網址後面加入/diag.html,進入隱藏的設定畫面,把”IP 欺骗检查”拿掉后即可,但有网友反应,拿掉后虽然日志没出现”IP 欺骗被丢弃”了,但实际流量还是无法通过,另外还有人改完后,用了一段时间整台防火墙就挂了,重刷固件才好,因此我便没有尝试。
此问题看起来是 SonicWall 认为同网段的 IP 不应该由外部连进来,而偏偏 ISP 给的子网掩码常常是 /24,導致明明是不同地點的IP,卻屬於同網段的情形,知道原因後,便試著從遮罩下手。以我們的IP來說,範圍是*.*.*.55~60,以255.255.255.240的遮罩來說,IP範圍為*.*.*.49~62,已包含我們所有IP,因此將WAN端的遮罩改成255.255.255.240即可,請對方再重試後,就不會被判斷成同網段的IP了。
【相關連結】
留下回复