网闸映射后的端口只允许特定的IP访问

参考

1. 地址对象组引用问题 

   白名单必须通过引用地址对象组实现，检查是否满足以下条件：

   地址对象组是否准确包含目标白名单IP

   策略中是否正确引用了该地址对象组

   是否因版本缺陷导致（如P03版本存在白名单缺陷，需升级至P04）

2. 策略优先级冲突 

   检查是否存在其他优先级更高的策略（如默认允许策略）覆盖了白名单规则。确保白名单策略的优先级高于其他可能放行流量的策略。

3. 安全域配置错误 

   确认接口已加入正确的安全域（如Trust/Untrust）

   安全策略的源/目的安全域是否与接口所属安全域匹配

4. 策略集配置不完整 

   若需双向访问，需配置双向策略（如trust-untrust和untrust-trust）

   检查策略中的源/目的IP地址是否精确匹配白名单范围（避免使用通配规则）

5. IPsec/网闸通道状态异常 

   使用IPsec诊断功能（数据流/接口/IP地址模式）检测通道状态，检查是否存在协商失败、路由不可达或ACL规则不匹配问题。

建议操作步骤： 

1. 检查地址对象组配置及策略引用关系 

2. 验证安全策略优先级顺序 

3. 升级到P04版本（若当前为P03） 

4. 通过 `iptables -xnvL` 检查实际生效规则 

5. 使用IPsec诊断工具排查通道协商状态。