F100-M-G 禁止某一个ip地址连外网问题

我1端口是外网接口，2端口是内网接口，我设置了1端口的NAT动态地址转换功能，里面设置的ACL是3000（3000里面已经deny 了某一个ip地址），地址转换方式：easy ip，但是保存配置后，该ip还能正常联网，请问是哪边出错了吗？是acl配置写错了吗？

您好，ACL里面是否有该IP所在的网段？

有的，我在ACL3000里面deny掉了这个IP地址

我允许的是192.168.0.0的大段

ACL里面设置192.168.0.0/0.0.255.255允许，然后192.168.10.30/0.0.0.0禁止，但是这个IP地址还是能上网

您好，可以在ACL内将拒绝的移动到前面，然后在允许看下。

因为大段的ACL策略被匹配允许了之后，后续拒绝的小IP就不会再匹配了。

我拒绝的都是在前面（ID都是个位数），允许的在最下面（ID是200）

您好，您不是先允许了192.168.0.0/16后才拒绝的192.168.10.30么？

这个跟端口接的设备有关系吗？我以前这样设置是没有问题，以前外网接口接的是电信的光猫，配置的是公网IP地址，现在这个外网接口接的是VPN设备，通过这个VPN设备连接电信的光猫

是的，因为整个ACL里面就一条允许，其他拒绝的命令都是在它后面设置的，这个优先级不是应该看前面的ID吗？

您好，就是允许的在前面，拒绝的在后面？ACL的策略是从上到下的匹配。看下您rule的id是多少？

不对吧？我以前设置的都是拒绝的在前面（rule 10），允许的在后面（rule 200），因为拒绝的一般会有多条，允许的只有1条，而且我刚才也把这两个顺序重新调了一下，还是能正常上网

安全策略这里有放行吗？

我们以前这样设置是没问题的，是可以禁止某一个IP地址上网的，后来把我们的网络架构变了一下，它就不起作用了（配置都没变），就是把路由信息变了，因为原来是直接连的电信光猫，现在是连的VPN设置，VPN设置再连电信光猫

安全策略里面我设置的是双向全地址全服务放行