你遇到的问题,很可能出在 ACG 的安全策略上。它在网桥模式下虽然不负责 NAT 转换,但依然会像一道“防火墙”一样,对流经的流量进行安全审查。
当防火墙把映射后的流量交给 ACG 时,ACG 需要明确放行这些流量,否则就会拦截。
你需要登录 ACG 的 Web 管理界面,按顺序完成以下两步:
路径:对象管理 -> 服务 -> 自定义服务,点击“新建”。
名称:自定义,例如 Web-Server。
类型:根据你的服务选择,如 TCP。
目的端口:填写需要放行的端口号,例如 8081-8081。
点击“添加到列表”并“提交”。
这是放行流量的关键步骤。你需要创建一条策略,允许从外到内的访问。
路径:上网行为管理 -> IPv4 策略,点击“新建”。
源安全域:选择流量来源,例如 Untrust 或具体的外网接口。
目的安全域:选择流量目的地,例如 Trust 或具体的内网接口。
源地址:通常保持默认的 any。
目的地址:填写你内网服务器的 IP 地址。
服务:选择上一步创建的服务对象,例如 Web-Server。
动作:务必选择 Permit(允许)。
点击“提交”完成配置。
如果配置了安全策略后依然不通,请检查是否存在策略路由(PBR) 配置错误。一个常见的问题是,策略路由的源接口或入接口错误地配置成了 any,这可能导致来自外网的流量被错误地循环回外网,而无法到达内网服务器。
配置完成后,可以通过以下方式验证:
查看会话:在 ACG 上检查会话表,确认有来自外网 IP 访问服务器端口的会话记录。
查看日志:检查 ACG 的日志,看是否有相关流量被允许或拒绝的记录。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论