msr3610的acl在包过滤这块的默认动作是允许还是拒绝？

MSR3610（以及所有运行 Comware V7/V9 的路由器）的 ACL 在包过滤（packet-filter）场景下，未命中任何规则时，默认行为是允许报文通过（Permit）。

📜 默认行为详解

• 包过滤（packet-filter）场景：当接口下配置了 packet-filter 时，设备为未匹配报文设定的缺省动作为 Permit（即“允许放行”）。

• 其他场景：当 ACL 被用于其他用途时，默认行为可能不同。不同场景下的默认行为对比，可以参考下表：

⚙️ 如何修改默认动作

若要改变这种“默认允许”的行为，可以在系统视图下使用 packet-filter default deny 命令，将缺省动作修改为“拒绝未匹配的报文”。

一、权威结论（来自 H3C 官方文档）

• 默认行为：packet-filter default permit（允许所有未匹配流量）
• 修改命令（全局）：
  plaintext

  system-view packet-filter default deny # 改为“拒绝所有未匹配流量”

二、关键区分（最容易混淆的两点）

1. ACL 本身 vs 包过滤（packet-filter）

• ACL 内部：末尾隐含 deny ip（不匹配就拒绝）
• 接口包过滤：默认 permit（ACL 拒绝 → 走默认允许）

• 命中 permit → 放行
• 命中 deny → 丢弃
• 未命中任何规则 → 按全局默认 permit 放行

2. 不同场景默认动作

• 包过滤（packet-filter）：默认 permit
• NAT / 路由策略 / PBR / 流量过滤：默认 deny

三、你的场景（禁止 PC A 访问内网）

• 匹配 deny → 拒绝内网
• 其他流量 → 匹配 permit any → 上网放行
• 即使删掉 permit any，默认仍 permit → 照样能上网

四、查看当前默认动作

• 显示 IPv4 default action: Permit → 默认允许

五、安全建议