ゲートウェイでファイアウォールを使用すると、一部のWebサイトにHTTPS経由でアクセスできなくなります。

ゲートウェイでファイアウォールを使用すると、一部のWebサイトにHTTPS経由でアクセスできなくなります。

私はRaspberry Pi(Debian 9)にファイアウォール/ゲートウェイを構築しています。

ファイアウォールルールを作成するためにファイアウォールを使用しています。

今日まで、ほとんどのウェブサイトやサービスは正常に動作しています。ただし、NetflixなどのアクセスできないWebサイトがいくつかあります。しかし、FacebookとGoogleはHTTPSを介して完全に動作します。

そのため、lan0、ppp0、vpn0 3つのインターフェイスを設定しました。

lan0 = Local lan interface 192.168.1.2/24 ppp0 = PPPoE connection to my internet provider vpn0 = Openconnect connection to a work VPN

構成されていないファイアウォールから始まり、ファイアウォールを設定するために使用する唯一のコマンドは次のとおりです。

firewall-cmd --zone=external --change-interface=ppp0 firewall-cmd --zone=external --change-interface=vpn0 firewall-cmd --zone=trusted --change-interface=lan0 firewall-cmd --zone=public --add-service=http

その後、ローカルクライアント(192.168.1.5)でインターネットを閲覧すると、ほとんどのWebサイトが正しく機能します。しかし、(これまで)NetflixとSkypeに問題があります。

同じクライアントでカールを使用すると、これが発生し、永久に中断されます。

curl -v https://www.netflix.com * Rebuilt URL to: https://www.netflix.com/ * Hostname was NOT found in DNS cache * Trying 52.19.56.133... * Connected to www.netflix.com (52.19.56.133) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs/ * SSLv3, TLS unknown, Certificate Status (22): * SSLv3, TLS handshake, Client hello (1):

ゲートウェイ(RPI)の同じコマンドが正しく機能します。

クライアントがサーバーの応答を待っているようです。私が逃したものは何ですか?

答え1

多くのインターネット検索の最後に、これが私のファイアウォールと全く関連していないことがわかりました。

私のPPPoEリンクのMTU設定に関連しています。

解決策は1452に設定することです。

完全な説明を見ることができますここ

関連情報