私はRaspberry Pi(Debian 9)にファイアウォール/ゲートウェイを構築しています。
ファイアウォールルールを作成するためにファイアウォールを使用しています。
今日まで、ほとんどのウェブサイトやサービスは正常に動作しています。ただし、NetflixなどのアクセスできないWebサイトがいくつかあります。しかし、FacebookとGoogleはHTTPSを介して完全に動作します。
そのため、lan0、ppp0、vpn0 3つのインターフェイスを設定しました。
lan0 = Local lan interface 192.168.1.2/24 ppp0 = PPPoE connection to my internet provider vpn0 = Openconnect connection to a work VPN
構成されていないファイアウォールから始まり、ファイアウォールを設定するために使用する唯一のコマンドは次のとおりです。
firewall-cmd --zone=external --change-interface=ppp0 firewall-cmd --zone=external --change-interface=vpn0 firewall-cmd --zone=trusted --change-interface=lan0 firewall-cmd --zone=public --add-service=http
その後、ローカルクライアント(192.168.1.5)でインターネットを閲覧すると、ほとんどのWebサイトが正しく機能します。しかし、(これまで)NetflixとSkypeに問題があります。
同じクライアントでカールを使用すると、これが発生し、永久に中断されます。
curl -v https://www.netflix.com
* Rebuilt URL to: https://www.netflix.com/
* Hostname was NOT found in DNS cache * Trying 52.19.56.133... * Connected to www.netflix.com (52.19.56.133) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs/ * SSLv3, TLS unknown, Certificate Status (22): * SSLv3, TLS handshake, Client hello (1):
ゲートウェイ(RPI)の同じコマンドが正しく機能します。
クライアントがサーバーの応答を待っているようです。私が逃したものは何ですか?
答え1
多くのインターネット検索の最後に、これが私のファイアウォールと全く関連していないことがわかりました。
私のPPPoEリンクのMTU設定に関連しています。
解決策は1452に設定することです。
完全な説明を見ることができますここ