问题描述:
目前新配置上的5口号应用存在问题,其他口的应用都能正常。
问题描述:
5口的专线3,将其网络从防火墙上拔下来,直播接到PC,PC的网卡设置为192.168..103.163,网关192.168.103.161,ping或tracert地址10.61.*.*(指定IP)都能正常。
而上述网络插到防火墙的5口号:
(1)在防火墙的系统——诊断中心——ping地址10.61.*.*(指定IP)成功;
(2)在防火墙的系统——诊断中心——tracert中对地址10.61.*.*(指定IP)操作也能正常成功。
(3)但:
①在局域网的PC上(IP:192.168.1.181)ping 地址10.61.*.*(指定IP)不成功;
②在局域网的PC上(IP:192.168.1.181)tracert 地址10.61.*.*(指定IP)不成功,显示如下:
1 <1毫秒 <1毫秒 <1毫秒 192.168.1.1
2 * * * 请求超时 ...... 30 * * * 请求超时
求助,对防火墙如何配置,才能在局域网PC机上正常访问地址10.61.*.*(指定IP),感谢帮助,谢谢
组网及组网描述:
防火墙接口情况:
0号口:安全域management,三层, IP:192.168.0.1, 未接网线;
1号口:untrust ,电信宽带, 三层, ip:192.168.2.2 连电信光猫;
2号口:untrust,专线1, 三层, ip为静态地址(2.*.*.*);
3号口:untrust,专线2, 三层, ip为静态地址(10.77.*.*);
4号口:无,未使用;
5号口:untrust,专线3, 三层, ip为静态地址(192.168.103.163),网关:192.168.103.161;
6号口:无,未使用;
7号口:trust,内部局域网(下联局域网交换机),三层,ip为静态地址(192.168.1.1),配置为自动向局域网电脑分配192.168.1.*;
路由->静态路由设置情况:
目的地址 优先级 下一跳 出接口
0.0.0.0 50 192.168.2..1 1号口
10.61.0.0 38 192..168.103.161 5号口
10.72.0.0 31 10.77.*.* 3号口
10.77.0.0 32 10.77.*.* 3号口
172.23.0.0 34 2.*.*.* 2号口
- 2023-06-14提问
- 举报
-
(0)
最佳答案
路由正确的话看下安全策略放通了没有
- 2023-06-14回答
- 评论(1)
- 举报
-
(0)
源安全域 目的安全域 动作 trust untrust 允许 trust local 允许 local trust 允许 untrust local 拒绝 local untrust 允许 untrust trust 允许 trust trust 允许
内网电脑ping指定ip时,debug查看下是否被安全策略阻断、是否没有路由
debug相关命令:
触发流量:
查看是否有触发会话;
debugging查看:
Debug信息
debugging ip packet acl 3XXX # 查看报文具体从哪个接口,哪个slot上来和发出的情况
debugging ip info acl 3XXX # 如果有丢包则会打印信息丢包的具体模块,如果没有丢包则不打印
debugging aspf packet acl 3XXX # 如果报文状态不合法,则会显示被aspf丢弃,需检查流量来回是否一致
debugging security-policy packet ip acl 3XXX #查看报文是否能匹配上安全策略
- 2023-06-14回答
- 评论(2)
- 举报
-
(0)
配置acl 3XXX过滤报文,写双向的流量: acl配置举例如下: 为IPv4高级ACL 3000创建规则如下:允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立连接。 <Sysname> system-view [Sysname] acl advanced 3000 [Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 然后再debug命令中调用该acl
debugging上述几行命令,在telnet中连接成功后,直接输入的命令如下,命令打完,在PC中ping 地址10.61.*.*(指定IP),不成功,telnet界面中也不没有新的内容显示,不好意思,不知道怎么样查看debug结果: debugging 10.61.157.71 packet acl 3002 debugging ip info acl 3002 debugging aspf packet acl 3002 debugging security-policy packet ip acl 3002
配置acl 3XXX过滤报文,写双向的流量: acl配置举例如下: 为IPv4高级ACL 3000创建规则如下:允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立连接。 <Sysname> system-view [Sysname] acl advanced 3000 [Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 然后再debug命令中调用该acl
源安全域 目的安全域 动作
trust untrust 允许
trust local 允许
local trust
允许
untrust local 拒绝
local untrust
允许
untrust trust
允许
trust trust 允许
debugging上述几行命令,在telnet中连接成功后,直接输入的命令如下,命令打完,在PC中ping 地址10.61.*.*(指定IP),不成功,telnet界面中也不没有新的内容显示,不好意思,不知道怎么样查看debug结果:
debugging 10.61.157.71 packet acl 3002
debugging ip info acl 3002
debugging aspf packet acl 3002
debugging security-policy packet ip acl 002
- 2023-06-14回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
源安全域 目的安全域 动作 trust untrust 允许 trust local 允许 local trust 允许 untrust local 拒绝 local untrust 允许 untrust trust 允许 trust trust 允许