防火墙 什么策略可以限制untrust接入VPN的IP

不是拒绝，是只允许某几个IP接入，怎样做策略，有没案例

那就是，第一条untrust到local，动作允许，源ip填白名单地址，目ip填防火墙wan口ip 第二条untrust到local，动作是拒绝，源不用写，目ip写防火墙wan口ip

你这是只限制了访问local,但我是想对封装在VPN的untrust外网某几个IP，限制访问trust内网某几个IP

拨了vpn之后就变成vpn地址了啊，访问的时候是vpn内网ip去访问的。要么去固定用户的ip，然后去限制这ip去访问资源

我在用户设置那里的绑定属性可以限1个IP，知不知怎样可以限多几个IP，在哪里设置

绑定ip是ssl用户和ip绑定，这个就一对一的

知不知哪里可以绑多几个IP

绑多个ip的意义在哪，如果要限制用户访问，就给需要限制访问的用户单独创个账号绑个ip，然后针对这个ip做限制策略嘛

想受限制用户只能固定在某地方才能接入VPN，去其它地方接入不了

有没有什么命令，可以显示拿到接入电脑的MAC地址，用mac限也行

在网关上可以通过arp查到mac，如果是其他三层设备，需要配置snmp同步mac地址

这个试过没VNP地址显示，更没MAC显示

喔，你想显示拨号的用户mac吗？一般拨进来都是公网ip来的，我不确定华三能不能识别用户mac，要是设备在保的话可以打个400问问

用户绑定属性里有MAC设置限制的，应该有命令可以拿到用户电脑的MAC地址的