• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1000-AK108防火墙配置好portal本地认证之后,外网无法访问内网地址

2025-05-19提问
  • 0关注
  • 0收藏,410浏览
粉丝:0人 关注:0人

问题描述:

如题,内网已经配置好portal认证,且可以正常重定向登录网址。
但发现外部网络无法正常访问内网地址,可以ping通内网域名,但端口无法telnet。关闭portal认证恢复正常访问

最佳答案

粉丝:116人 关注:9人

根据提供的资料,F1000-AK108防火墙配置Portal认证后外网无法访问内网地址的问题,可能由以下原因导致: 关键原因分析

1. 安全策略未放行认证用户流量

   Portal认证成功后的用户流量需通过基于用户/用户组的安全策略放行。若策略中配置了user-groupuser参数,但未开启用户身份识别功能(user-identity enable),流量会被策略丢弃。

   验证方法:检查是否存在类似如下配置的安全策略,并确认是否已开启用户身份识别:

    

     security-policy ip rule 13 name a-group

     action pass

     source-zone Trust destination-zone Untrust

     user-group portal-it  # 需开启user-identity enable才能生效

     2. Portal免认证规则缺失关键地址

   Portalfree-rule需放行DNS服务器地址、防火墙接口IP、无需认证的网段。若外网访问路径涉及这些地址未放行,流量会被强制拦截。

   关键配置示例:

    

     portal free-rule 0 destination ip 114.114.114.114 32  # 放行DNS

     portal free-rule 1 destination ip 10.88.142.214 32   # 放行防火墙接口地址

     portal free-rule 2 source ip 10.0.0.0 8              # 放行内网非认证网段

     portal free-rule 3 source interface GigabitEthernet1/0/2  # 放行上联路由器接口

     3. NAT映射或端口配置错误

   若外网访问依赖NAT,需检查NAT内部服务器的外网端口是否与实际服务端口一致(如HTTP 80端口映射错误会导致Web无法访问)。

   验证命令:

    

     display nat server  # 检查Global IP/PortLocal IP/Port映射关系

     4. 跨三层部署的VLAN标签问题

   透明部署时,若接口PVID与流量VLAN不匹配(如流量携带VLAN 10但接口PVID1),会导致ARP探测失败。

   解决方法:调整接口PVID与业务VLAN一致,或通过portal free-rule放行接口。--解决步骤

1. 开启用户身份识别功能

  

   system-view

   user-identity enable  # 必须开启才能联动安全策略

   2. 补充Portal免认证规则

  

   portal free-rule 0 destination ip 202.38.1.4 32     # 外网DNS服务器

   portal free-rule 1 destination ip 192.168.10.10 32  # 防火墙VLAN接口

   portal free-rule 2 source interface GigabitEthernet1/0/2  # 上联路由器接口

   3. 检查安全策略放行逻辑

   确认存在放行UntrustTrust的安全策略,且未依赖未生效的用户组:

    

     security-policy ip rule name untrust-trust 

     action pass

     source-zone Untrust destination-zone Trust

     destination-ip-host 10.110.10.1  # 内网服务器地址

     4. 验证NAT端口映射

   登录Web界面,进入 策略 > NAT > NAT内部服务器,确认外网端口(如80/443)与内网服务端口一致。5. 抓包及日志分析

   启用debugging确认流量是否命中策略:

    

     debugging security-policy packet ip

     debugging portal all

     --最终效果

完成上述配置后:

1. 外网用户访问内网服务时,流量通过免认证规则或已认证用户的策略放行。

2. NAT端口映射正确,Telnet/HTTP等端口可正常通信。

3. 安全策略日志显示流量匹配pass动作,会话表(display session table)显示ESTABLISHED状态。

你好,我配置了mac地址免认证方式,但不生效。 命令portal free-rule 1 source mac 1234-5678-90AB。请指点

zhiliao_WyNN5D 发表时间:2025-05-20 更多>>

你好,我配置了mac地址免认证方式,但不生效。 命令portal free-rule 1 source mac 1234-5678-90AB。请指点

zhiliao_WyNN5D 发表时间:2025-05-20
2 个回答
粉丝:4人 关注:0人

内网设备是不是没做认证呢

回复西瓜果冻:

portal free-rule 1 source mac 1234-5678-90AB 我使用mac地址免认证方式,将该内网主机添加为免认证,但不生效,依旧需要认证才能访问外网,请问是不支持mac免认证吗?

zhiliao_WyNN5D 发表时间:2025-05-20 更多>>

内网是台不需要访问网络的服务器,也需要认证一下吗?

zhiliao_WyNN5D 发表时间:2025-05-19

可以把他免认证下 因为没有认证的话可能会直接丢弃

西瓜果冻 发表时间:2025-05-19
回复西瓜果冻:

portal free-rule 1 source mac 1234-5678-90AB 我使用mac地址免认证方式,将该内网主机添加为免认证,但不生效,依旧需要认证才能访问外网,请问是不支持mac免认证吗?

zhiliao_WyNN5D 发表时间:2025-05-20
zhiliao_WyNN5D 知了小白
粉丝:0人 关注:0人

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明