• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

求助,对防火墙如何设置,才能在局域网PC机上正常访问地址10.61.*.*(指定IP)

  • 1关注
  • 1收藏,810浏览
粉丝:0人 关注:0人

问题描述:

 目前新配置上的5口号应用存在问题,其他口的应用都能正常。 

问题描述: 

5口的专线3,将其网络从防火墙上拔下来,直播接到PC,PC的网卡设置为192.168..103.163,网关192.168.103.161,ping或tracert地址10.61.*.*(指定IP)都能正常。 

而上述网络插到防火墙的5口号: 

(1)在防火墙的系统——诊断中心——ping地址10.61.*.*(指定IP)成功; 

(2)在防火墙的系统——诊断中心——tracert中对地址10.61.*.*(指定IP)操作也能正常成功。 

(3)但: 

①在局域网的PC上(IP:192.168.1.181)ping 地址10.61.*.*(指定IP)不成功;

②在局域网的PC上(IP:192.168.1.181)tracert 地址10.61.*.*(指定IP)不成功,显示如下:

 1 <1毫秒      <1毫秒 <1毫秒 192.168.1.1 

2 * * * 请求超时 ...... 30 * * * 请求超时


求助,对防火墙如何配置,才能在局域网PC机上正常访问地址10.61.*.*(指定IP),感谢帮助,谢谢

组网及组网描述:

防火墙接口情况:

 0号口:安全域management,三层,     IP:192.168.0.1,                    未接网线; 

1号口:untrust ,电信宽带,    三层,    ip:192.168.2.2                          连电信光猫; 

2号口:untrust,专线1,        三层,      ip为静态地址(2.*.*.*); 

3号口:untrust,专线2,        三层,      ip为静态地址(10.77.*.*);

 4号口:无,未使用;

 5号口:untrust,专线3,        三层,     ip为静态地址(192.168.103.163),网关:192.168.103.161; 

6号口:无,未使用; 

7号口:trust,内部局域网(下联局域网交换机),三层,ip为静态地址(192.168.1.1),配置为自动向局域网电脑分配192.168.1.*; 


 路由->静态路由设置情况: 

目的地址      优先级      下一跳                       出接口 

0.0.0.0          50           192.168.2..1               1号口 

10.61.0.0      38          192..168.103.161        5号口 

10.72.0.0      31          10.77.*.*                      3号口 

10.77.0.0      32          10.77.*.*                      3号口 

172.23.0.0     34          2.*.*.*                          2号口  


最佳答案

粉丝:19人 关注:12人

路由正确的话看下安全策略放通了没有

源安全域 目的安全域 动作 trust untrust 允许 trust local 允许 local trust 允许 untrust local 拒绝 local untrust 允许 untrust trust 允许 trust trust 允许

zhiliao_kcbpVQ 发表时间:2023-06-14 更多>>

源安全域 目的安全域 动作 trust untrust 允许 trust local 允许 local trust 允许 untrust local 拒绝 local untrust 允许 untrust trust 允许 trust trust 允许

zhiliao_kcbpVQ 发表时间:2023-06-14
2 个回答
yykkle 四段
粉丝:0人 关注:0人

内网电脑ping指定ip时,debug查看下是否被安全策略阻断、是否没有路由
debug相关命令:

触发流量:

查看是否有触发会话;

debugging查看:

Debug信息
debugging ip packet acl 3XXX # 查看报文具体从哪个接口,哪个slot上来和发出的情况
debugging ip info acl 3XXX # 如果有丢包则会打印信息丢包的具体模块,如果没有丢包则不打印
debugging aspf packet acl 3XXX # 如果报文状态不合法,则会显示被aspf丢弃,需检查流量来回是否一致
debugging security-policy packet ip acl 3XXX #查看报文是否能匹配上安全策略

配置acl 3XXX过滤报文,写双向的流量: acl配置举例如下: 为IPv4高级ACL 3000创建规则如下:允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立连接。 <Sysname> system-view [Sysname] acl advanced 3000 [Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 然后再debug命令中调用该acl

yykkle 发表时间:2023-06-14 更多>>

debugging上述几行命令,在telnet中连接成功后,直接输入的命令如下,命令打完,在PC中ping 地址10.61.*.*(指定IP),不成功,telnet界面中也不没有新的内容显示,不好意思,不知道怎么样查看debug结果: debugging 10.61.157.71 packet acl 3002 debugging ip info acl 3002 debugging aspf packet acl 3002 debugging security-policy packet ip acl 3002

zhiliao_kcbpVQ 发表时间:2023-06-14

配置acl 3XXX过滤报文,写双向的流量: acl配置举例如下: 为IPv4高级ACL 3000创建规则如下:允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立连接。 <Sysname> system-view [Sysname] acl advanced 3000 [Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 然后再debug命令中调用该acl

yykkle 发表时间:2023-06-14
zhiliao_kcbpVQ 知了小白
粉丝:0人 关注:0人

源安全域    目的安全域   动作

trust          untrust        允许
trust         local             允许
local         trust             允许
untrust     local             拒绝
local         untrust         允许
untrust     trust             允许
trust         trust             允许


debugging上述几行命令,在telnet中连接成功后,直接输入的命令如下,命令打完,在PC中ping 地址10.61.*.*(指定IP),不成功,telnet界面中也不没有新的内容显示,不好意思,不知道怎么样查看debug结果:

debugging 10.61.157.71 packet acl 3002
debugging ip info acl 3002
debugging aspf packet acl 3002
debugging security-policy packet ip acl 002


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明