奇怪的ACL问题
- 0关注
- 0收藏,108浏览
问题描述:
在H3C S12508X-AF 交换机
有一个奇怪的情况
一个VLAN的ACL配置是这样的:
acl advanced name JXTserver
rule 10 deny tcp destination-port range 135 139
rule 15 deny tcp destination-port eq 3389
rule 20 deny tcp destination-port eq 445
rule 30 deny udp destination-port range 135 netbios-ssn
rule 40 deny tcp destination-port range 22 telnet
rule 60 deny tcp destination-port eq 3306
rule 90 permit ip destination 10.156.31.202 0
rule 95 permit ip destination 10.156.31.154 0
rule 130 deny ip destination 10.156.31.0 0.0.0.255
rule 140 permit ip
#
其中rule 90和95,目的是放行到10.156.31.202和10.156.31.154这两台服务器的流量
但是,实际下来,只有到10.156.31.202是通的,到10.156.31.154不通。
把 rule 95 permit ip destination 10.156.31.154 0,扩大掩码,改成
rule 95 permit ip destination 10.156.31.154 0.0.0.31,居然通了(掩码改成0.0.0.15也不通)
实在想不明白,有高手支招吗?
首先,确认10.156.31.202是通的。
把rule 130这条删除,10.156.31.154是通的,加回去就不通,明显是匹配了rule 130这条
rule 95这条目的是单独放通10.156.31.154的,而且rule在130前,但是却没有匹配(放行)
改成rule 95 permit ip destination 10.156.31.152 0.0.0.3,10.156.31.154 不通
改成rule 95 permit ip destination 10.156.31.152 0.0.0.7,10.156.31.154 不通
改成rule 95 permit ip destination 10.156.31.144 0.0.0.15,10.156.31.154 不通
改成rule 95 permit ip destination 10.156.31.128 0.0.0.31,10.156.31.154 居然通了!!!
百思不得其解
不好意思,是我自己配置错了!我搞错了放行的目标。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
把 rule 130 删除,就通了,所以明显是跳过了rule95,匹配了rule130