✖
每日一题
☺您本月已连续签到天,打败了0%的知了达人!
今日已答题
签到规则:
1.每日可签到答题一次,每签到一次可获得5积分,连续签到10天额外奖励50积分,连续签到20天以上额外奖励100积分;连续签到30天以上额外奖励200积分;
2.签到答题正确,获得经验值5点;
3.签到成功后,当天日期会有提示。
F100-M-G 禁止某一个ip地址连外网问题
(0)
最佳答案
您好,请知:
关于在防火墙上禁止一个IP连接外网,以下是部署的方法,请参考:
1、可以在nat 转换的ACL中给deny掉。
2、或者可以在安全策略中进行拦截。
3、也可以在下行交换机中的ACL中拦截进入到防火墙。
我1端口是外网接口,2端口是内网接口,我设置了1端口的NAT动态地址转换功能,里面设置的ACL是3000(3000里面已经deny 了某一个ip地址),地址转换方式:easy ip,但是保存配置后,该ip还能正常联网,请问是哪边出错了吗?是acl配置写错了吗?
您好,ACL里面是否有该IP所在的网段?
有的,我在ACL3000里面deny掉了这个IP地址
我允许的是192.168.0.0的大段
ACL里面设置192.168.0.0/0.0.255.255允许,然后192.168.10.30/0.0.0.0禁止,但是这个IP地址还是能上网
您好,可以在ACL内将拒绝的移动到前面,然后在允许看下。
因为大段的ACL策略被匹配允许了之后,后续拒绝的小IP就不会再匹配了。
我拒绝的都是在前面(ID都是个位数),允许的在最下面(ID是200)
您好,您不是先允许了192.168.0.0/16后才拒绝的192.168.10.30么?
这个跟端口接的设备有关系吗?我以前这样设置是没有问题,以前外网接口接的是电信的光猫,配置的是公网IP地址,现在这个外网接口接的是VPN设备,通过这个VPN设备连接电信的光猫
是的,因为整个ACL里面就一条允许,其他拒绝的命令都是在它后面设置的,这个优先级不是应该看前面的ID吗?
您好,就是允许的在前面,拒绝的在后面?ACL的策略是从上到下的匹配。看下您rule的id是多少?
不对吧?我以前设置的都是拒绝的在前面(rule 10),允许的在后面(rule 200),因为拒绝的一般会有多条,允许的只有1条,而且我刚才也把这两个顺序重新调了一下,还是能正常上网
安全策略这里有放行吗?
我们以前这样设置是没问题的,是可以禁止某一个IP地址上网的,后来把我们的网络架构变了一下,它就不起作用了(配置都没变),就是把路由信息变了,因为原来是直接连的电信光猫,现在是连的VPN设置,VPN设置再连电信光猫
安全策略里面我设置的是双向全地址全服务放行
你正在编辑答案
如果你要对问题或其他回答进行点评或询问,请使用评论功能。
分享扩散:
亲~登录后才可以操作哦!
亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册
注册后可访问此模块
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
泄露了我的隐私
侵犯了我企业的权益
抄袭了我的内容
原文链接或出处
诽谤我
对根叔社区有害的内容
不规范转载
举报说明
我1端口是外网接口,2端口是内网接口,我设置了1端口的NAT动态地址转换功能,里面设置的ACL是3000(3000里面已经deny 了某一个ip地址),地址转换方式:easy ip,但是保存配置后,该ip还能正常联网,请问是哪边出错了吗?是acl配置写错了吗?
您好,ACL里面是否有该IP所在的网段?
有的,我在ACL3000里面deny掉了这个IP地址
我允许的是192.168.0.0的大段
ACL里面设置192.168.0.0/0.0.255.255允许,然后192.168.10.30/0.0.0.0禁止,但是这个IP地址还是能上网
您好,可以在ACL内将拒绝的移动到前面,然后在允许看下。
因为大段的ACL策略被匹配允许了之后,后续拒绝的小IP就不会再匹配了。
我拒绝的都是在前面(ID都是个位数),允许的在最下面(ID是200)
您好,您不是先允许了192.168.0.0/16后才拒绝的192.168.10.30么?
这个跟端口接的设备有关系吗?我以前这样设置是没有问题,以前外网接口接的是电信的光猫,配置的是公网IP地址,现在这个外网接口接的是VPN设备,通过这个VPN设备连接电信的光猫
是的,因为整个ACL里面就一条允许,其他拒绝的命令都是在它后面设置的,这个优先级不是应该看前面的ID吗?
您好,就是允许的在前面,拒绝的在后面?ACL的策略是从上到下的匹配。看下您rule的id是多少?
不对吧?我以前设置的都是拒绝的在前面(rule 10),允许的在后面(rule 200),因为拒绝的一般会有多条,允许的只有1条,而且我刚才也把这两个顺序重新调了一下,还是能正常上网
安全策略这里有放行吗?
我们以前这样设置是没问题的,是可以禁止某一个IP地址上网的,后来把我们的网络架构变了一下,它就不起作用了(配置都没变),就是把路由信息变了,因为原来是直接连的电信光猫,现在是连的VPN设置,VPN设置再连电信光猫
安全策略里面我设置的是双向全地址全服务放行