• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

奇怪的ACL问题

1天前提问
  • 0关注
  • 0收藏,108浏览
嘉华 零段
粉丝:0人 关注:0人

问题描述:

 

在H3C S12508X-AF 交换机

有一个奇怪的情况

一个VLAN的ACL配置是这样的:

acl advanced name JXTserver

 rule 10 deny tcp destination-port range 135 139

 rule 15 deny tcp destination-port eq 3389

 rule 20 deny tcp destination-port eq 445

 rule 30 deny udp destination-port range 135 netbios-ssn

 rule 40 deny tcp destination-port range 22 telnet

 rule 60 deny tcp destination-port eq 3306

 rule 90 permit ip destination 10.156.31.202 0

 rule 95 permit ip destination 10.156.31.154 0

 rule 130 deny ip destination 10.156.31.0 0.0.0.255

 rule 140 permit ip

#

其中rule 90和95,目的是放行到10.156.31.202和10.156.31.154这两台服务器的流量

但是,实际下来,只有到10.156.31.202是通的,到10.156.31.154不通。

把 rule 95 permit ip destination 10.156.31.154 0,扩大掩码,改成

 rule 95 permit ip destination 10.156.31.154 0.0.0.31,居然通了(掩码改成0.0.0.15也不通)

 

实在想不明白,有高手支招吗?

 

3 个回答
xixi 五段
粉丝:1人 关注:0人

现象确实奇怪,确认服务器的地址没错吗?

如果不通,感觉就是匹配不到这一条放通的rule,匹配到后面deny的rule

不然acl规则里,加counting统计下匹配次数,看一下是不是匹配到后面的deny了

acl是包过滤调用的吗?也可以看看packet-filter的默认动作改没改,如果改成deny了也有可能是没匹配到规则所以不通

把 rule 130 删除,就通了,所以明显是跳过了rule95,匹配了rule130

嘉华 发表时间:1天前 更多>>

把 rule 130 删除,就通了,所以明显是跳过了rule95,匹配了rule130

嘉华 发表时间:1天前
嘉华 知了小白
粉丝:0人 关注:0人

首先,确认10.156.31.202是通的。

把rule 130这条删除,10.156.31.154是通的,加回去就不通,明显是匹配了rule 130这条

rule 95这条目的是单独放通10.156.31.154的,而且rule在130前,但是却没有匹配(放行)

改成rule 95 permit ip destination 10.156.31.152 0.0.0.3,10.156.31.154 不通

改成rule 95 permit ip destination 10.156.31.152 0.0.0.7,10.156.31.154 不通

改成rule 95 permit ip destination 10.156.31.144 0.0.0.15,10.156.31.154 不通

改成rule 95 permit ip destination 10.156.31.128 0.0.0.31,10.156.31.154 居然通了!!!

百思不得其解



不好意思,是我自己配置错了!我搞错了放行的目标。





粉丝:2人 关注:0人

 rule 130 deny ip destination 10.156.31.0 0.0.0.255 去了试试

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明