问
ER5200G2禁止访问某个目的地址需要怎么配置
4天前提问
- 0关注
- 0收藏,70浏览
要禁止ER5200G2路由器访问某个目的地址,主要通过配置防火墙的出站通信策略来实现,以下是详细配置步骤:
1. 开启防火墙功能
- 登录ER5200G2路由器Web管理界面
- 导航至:安全专区→防火墙→防火墙设置
- 勾选"启用防火墙功能"选项
- 点击"应用"按钮保存设置
2. 配置出站通信策略
- 导航至:安全专区→防火墙→出站通信策略
- 在"出站通信缺省策略"下拉框中选择"允许"(如果当前是"禁止",则手动添加的策略会自动变为"允许")
- 点击"应用"按钮保存缺省策略设置
3. 添加禁止访问的规则
- 在出站通信策略页面,点击"新增"按钮
- 在弹出的对话框中配置以下关键项:
- 规则行为:选择"禁止"
- 源接口:选择"所有接口"(或指定需要限制的特定LAN接口)
- 源地址:选择"IP地址段"(如需限制特定内网IP范围)
- 源IP地址范围:输入起始IP和结束IP(如需限制所有内网,可设为192.168.1.2-192.168.1.100)
- 源端口范围:1-65535(保留默认值,除非需要限制特定端口)
- 目的IP地址范围:输入需要禁止访问的目的地址范围
- 例如:要禁止访问192.168.100.0/24网段
- 起始IP:192.168.100.0
- 结束IP:192.168.100.255
- 服务类型:选择需要禁止的服务(如HTTP、HTTPS等,或选择"所有服务")
- 生效时间:设置规则生效的时间段(如00:00-24:00,每天生效)
- 是否启用:选择"启用"
- 描述:可选,添加规则说明(如"禁止访问测试服务器")
- 规则行为:选择"禁止"
- 源接口:选择"所有接口"(或指定需要限制的特定LAN接口)
- 源地址:选择"IP地址段"(如需限制特定内网IP范围)
- 源IP地址范围:输入起始IP和结束IP(如需限制所有内网,可设为192.168.1.2-192.168.1.100)
- 源端口范围:1-65535(保留默认值,除非需要限制特定端口)
- 目的IP地址范围:输入需要禁止访问的目的地址范围
- 例如:要禁止访问192.168.100.0/24网段
- 起始IP:192.168.100.0
- 结束IP:192.168.100.255
- 例如:要禁止访问192.168.100.0/24网段
- 服务类型:选择需要禁止的服务(如HTTP、HTTPS等,或选择"所有服务")
- 生效时间:设置规则生效的时间段(如00:00-24:00,每天生效)
- 是否启用:选择"启用"
- 描述:可选,添加规则说明(如"禁止访问测试服务器")
4. 保存并应用配置
- 点击"增加"按钮完成规则添加
- 确保新规则在规则列表中显示为"启用"状态
- 如有必要,调整规则顺序(系统会优先匹配手动添加的规则,未匹配的则遵循缺省策略)
5. 验证配置
- 尝试从内网访问被禁止的目的地址,确认无法访问
- 如需限制特定服务(如仅禁止HTTP访问),确保服务类型选择正确
- 如需限制特定时间段,检查生效时间设置是否正确
没找到在哪里配置acl啊
歪嘴战神
发表时间:4天前
zhiliao_Gixe
四段
优先WEB配置(ER系列常用方式)
1. 先备份配置:登录WEB管理页(默认192.168.1.1,默认账号密码admin),进入【系统管理】-【配置管理】导出备份配置,规避变更风险。
2. 进入【安全专区】-【访问控制策略】新建策略:动作选「拒绝」,源地址按需选全部内网段/指定受限源段,目的地址填要禁止的目标IP/网段(禁域名需先建域名组绑定目标域名,目的选对应域名组),服务选ANY,生效时间设永久,启用策略。
3. 调整该拒绝策略优先级,放在所有放通公网的策略之前,保存配置即可。
CLI关键命令
sys
acl number 3000
rule 0 deny ip destination 目标IP 0 //禁止单个目的IP填反掩码0,网段按需改反掩码
interface GigabitEthernet 0/0 //替换为实际内网口
packet-filter 3000 inbound
save
1. 先备份配置:登录WEB管理页(默认192.168.1.1,默认账号密码admin),进入【系统管理】-【配置管理】导出备份配置,规避变更风险。
2. 进入【安全专区】-【访问控制策略】新建策略:动作选「拒绝」,源地址按需选全部内网段/指定受限源段,目的地址填要禁止的目标IP/网段(禁域名需先建域名组绑定目标域名,目的选对应域名组),服务选ANY,生效时间设永久,启用策略。
3. 调整该拒绝策略优先级,放在所有放通公网的策略之前,保存配置即可。
CLI关键命令
sys
acl number 3000
rule 0 deny ip destination 目标IP 0 //禁止单个目的IP填反掩码0,网段按需改反掩码
interface GigabitEthernet 0/0 //替换为实际内网口
packet-filter 3000 inbound
save
在 ER5200G2 上禁止访问某个目的 IP / 网址,最直接、最常用的方法是配置 出站防火墙规则(出站通信策略)。
一、Web 界面配置(推荐)
1. 进入防火墙设置
- 登录路由器 Web 管理界面
- 导航到:安全专区 → 防火墙 → 防火墙设置
- 确认 防火墙功能:启用(必须开启,规则才生效)
2. 新增 “禁止访问” 出站规则
- 进入:安全专区 → 防火墙 → 出站通信策略
- 点击 <新增>
- 按如下填写(关键项):
- 状态:启用
- 描述:禁止访问 X.X.X.X(自定义)
- 源 IP:
- 禁止所有内网:
192.168.1.0~192.168.1.255(按你实际网段) - 禁止某台 / 某段:填对应起始 / 结束 IP
- 禁止所有内网:
- 目的 IP:
- 禁止单个 IP:起始 = 结束 =
220.181.38.251(示例) - 禁止网段:填起始与结束(如
8.8.8.0~8.8.8.255)
- 禁止单个 IP:起始 = 结束 =
- 服务类型:ANY(所有协议) 或指定 TCP/UDP/ICMP
- 动作:拒绝
- 生效时间:永久(或按需要选时间段)
- 点 <增加> → < 确定 >,再点页面 <应用> 保存
3. (可选)禁止域名 / 网址
如果要禁网址(域名),用行为管理 → 网址控制:
- 行为管理 → 网址组 → 新增:添加要禁止的网址(如
www.baidu.com) - 行为管理 → 网址控制:
- 管理模式:拒绝
- 启用网址控制
- 新增:选刚才的网址组、源地址组(全部 / 指定)、拒绝
- <应用> 生效
二、命令行(CLI)配置(同效果)
bash
运行
<H3C> system-view
[H3C] firewall enable # 开启防火墙
[H3C] acl number 3000 # 建高级ACL
[H3C-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 220.181.38.251 0
# 源:192.168.1.0/24;目的:单个IP 220.181.38.251;动作:拒绝
[H3C-acl-adv-3000] quit
# 应用到“出站方向”
[H3C] firewall packet-filter 3000 outbound
[H3C] save
三、验证与注意
- 验证:内网 PC ping/telnet 该目的 IP,应不通、被拒绝
- 顺序:ER 系列防火墙规则从上到下匹配,禁止规则尽量放靠前
- 缺省策略:出站缺省一般是 允许,所以只加拒绝规则即可
- MAC+IP 绑定:如需 “防改 IP”,再配合 安全专区 → 接入控制 → IPMAC 过滤 开启
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
没找到在哪里配置acl啊