• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5560s配置ACL规则未按照预期执行

2天前提问
  • 0关注
  • 0收藏,78浏览
zhiliao_iDOYY
zhiliao_iDOYY 零段
粉丝:0人 关注:1人

问题描述:

版本信息:

S5560S-28P-SI with 1 Processor
BOARD TYPE: S5560S-28P-SI
DRAM: 512M bytes
FLASH: 256M bytes
PCB 1 Version: VER.B
Bootrom Version: 152
CPLD 1 Version: 001
Release Version: H3C S5560S-28P-SI-6351P03
Patch Version : None
Reboot Cause : UserReboot
[SubSlot 0] 24GE+4SFP

配置如下:

#

acl advanced 3010

 rule 1 permit ip source 192.168.8.5 0 destination 192.168.10.0 0.0.0.255

 rule 10 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq www

 rule 11 permit tcp source 192.168.6.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq www

 rule 12 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq www

 rule 13 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq www

 rule 14 permit tcp source 192.168.16.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq www

 rule 15 permit tcp source 172.23.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port eq www

 rule 16 permit tcp source 172.25.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port eq www

 rule 20 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 443

 rule 21 permit tcp source 192.168.6.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 443

 rule 22 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 443

 rule 23 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 443

 rule 24 permit tcp source 192.168.16.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 443

 rule 25 permit tcp source 172.23.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port eq 443

 rule 26 permit tcp source 172.25.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port eq 443

 rule 30 permit udp source 192.168.5.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq dns

 rule 31 permit udp source 192.168.6.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq dns

 rule 32 permit udp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq dns

 rule 33 permit udp source 192.168.8.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq dns

 rule 34 permit udp source 192.168.16.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq dns

 rule 35 permit udp source 172.23.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port eq dns

 rule 36 permit udp source 172.25.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port eq dns

 rule 40 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq www

 rule 41 permit tcp source 192.168.6.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq www

 rule 42 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq www

 rule 43 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq www

 rule 44 permit tcp source 192.168.16.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq www

 rule 45 permit tcp source 172.23.126.0 0.0.1.255 destination 192.168.10.12 0 destination-port eq www

 rule 46 permit tcp source 172.25.126.0 0.0.1.255 destination 192.168.10.12 0 destination-port eq www

 rule 50 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.16 0 destination-port eq 443

 rule 55 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 1521

 rule 56 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 1521

 rule 57 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 33306

 rule 57 comment allow yanfa access to dev mysql port 33306 

 rule 59 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 1433

 rule 59 comment allow yanfa access to yanfa sqlserver port 1433

 rule 60 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 1434

 rule 60 comment allow yanfa access to yanfa sqlserver port 1433

 rule 61 permit tcp source 172.23.126.0 0.0.1.255 destination 192.168.10.184 0 destination-port range 8000 8010

 rule 62 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port range 8000 8010

 rule 63 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.184 0 destination-port range 8000 8010

 rule 65 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 10000

 rule 67 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 30236

 rule 69 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port range 54322 54323

 rule 69 comment allow yanfa access to yanfa rendajincang db ports

 rule 72 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 1888

 rule 72 comment allow yanfa access to yanfa hive-kerberos

 rule 73 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.184 0 destination-port eq 1782

 rule 73 comment allow yanfa access to yanfa hive-kerberos

 rule 75 permit tcp source 192.168.8.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq ftp

 rule 76 permit tcp source 192.168.7.0 0.0.0.255 destination 192.168.10.12 0 destination-port eq ftp

 rule 100 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

 rule 105 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

 rule 110 deny ip source 192.168.7.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

 rule 115 deny ip source 192.168.8.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

 rule 120 deny ip source 192.168.16.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

 rule 125 deny ip source 172.23.126.0 0.0.1.255 destination 192.168.10.0 0.0.0.255

 rule 130 deny ip source 172.25.126.0 0.0.1.255 destination 192.168.10.0 0.0.0.255

 rule 135 permit ip

 #

interface Vlan-interface10

 ip address 192.168.10.1 255.255.255.0

 packet-filter filter all

 packet-filter 3010 outbound

#

 

出现了几个问题:

1. 在 vlan10 设置 packet-filter 3010 inbound 然后测试 deny 无任何效果,于是修改为 outbound 再测试基本上符合配置的deny和permit规则。对于vlan10来说,流量不应该是inbound吗,为什么匹配不到呢?

2. 在 vlan10 的outbound配置后acl的规则基本上都生效了,后续添加其他规则也正常,但是通过 dis packet-filter statistics sum outbound 3010 命令查看匹配的包都是0

Totally 0 packets permitted, 0 packets denied
Totally 0% permitted, 0% denied
3. 后续在使用的时候发现,其他vlan访问vlan10确实根据acl 3010正常deny和permit了,但是无法从 vlan10 的机器主动访问其他vlan的服务了?这也不符合 acl 规则
 
 

2 个回答
按时间 按赞数
zhiliao_wtEeX
zhiliao_wtEeX 三段
粉丝:3人 关注:46人

可以在源匹配和应用,你配置的思路不对


回复zhiliao_iDOYY:

默认都是允许互访的。只需要写禁止的访问规则

zhiliao_wtEeX 发表时间:2天前 更多>>

在目的 vlan 和源 vlan 配置各有优缺点吧 在源 vlan 匹配的话,那就每个源vlan都要单独维护一套规则,稍微麻烦点 而且现在这种情况无法解释的话,很怀疑在源vlan配置是否真的符合预期效果

zhiliao_iDOYY 发表时间:2天前
回复zhiliao_iDOYY:

默认都是允许互访的。只需要写禁止的访问规则

zhiliao_wtEeX 发表时间:2天前
zhiliao_iDOYY
zhiliao_iDOYY 知了小白
粉丝:0人 关注:1人


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明