• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ACG1070-X1内网服务器映射被acg拦截

15小时前提问
  • 0关注
  • 0收藏,28浏览
粉丝:0人 关注:0人

问题描述:

型号:ACG1070-X1  

系统版本:i-Ware software,Version 1.10,Release 6616P04

ACG1070-X1放在核心与防火墙之间网桥模式,内网服务器映射端口后被acg拦截,防火墙映射内部服务器端口后,从防火墙向内网检测端口状态是不通的,这个在ACG上面如何放开

3 个回答
粉丝:12人 关注:9人

排查步骤及命令:
1. 查看ACG网桥模式下的策略配置,确认是否有拦截内网服务器映射端口的规则:
display acl all #查看所有ACL规则
display traffic-policy applied-record #查看流量策略应用情况
2. 检查是否启用了应用识别或URL过滤导致拦截:
display application-identification status #查看应用识别状态
display url-filter policy #查看URL过滤策略
3. 针对映射的端口(如80、443),在ACG上配置允许策略:
进入系统视图:system-view
创建ACL允许目标端口:acl number 3000
rule permit tcp destination-port eq [映射端口]
创建流量策略并关联ACL:traffic policy permit_server
classifier server_class operator and
if-match acl 3000
action permit
在网桥接口应用策略:interface bridge-aggregation 1(或对应网桥接口)
traffic-policy permit_server inbound
4. 测试端口连通性:在防火墙侧向内网服务器发送测试流量,同时在ACG上抓包验证:
interface [网桥接口]
packet-capture inbound/outbound destination-port [映射端口]
display packet-capture file #查看抓包结果
5. 若仍拦截,检查ACG是否开启了攻击防护(如SYN flood):
display attack-defense status #查看攻击防护状态
undo attack-defense syn-flood enable #临时关闭SYN flood防护测试

暂无评论

粉丝:133人 关注:11人

控制策略里检查下 

暂无评论

粉丝:25人 关注:1人

你遇到的问题,很可能出在 ACG 的安全策略上。它在网桥模式下虽然不负责 NAT 转换,但依然会像一道“防火墙”一样,对流经的流量进行安全审查

当防火墙把映射后的流量交给 ACG 时,ACG 需要明确放行这些流量,否则就会拦截。

🔧 配置步骤:在 ACG 上放行端口

你需要登录 ACG 的 Web 管理界面,按顺序完成以下两步:

1. 自定义服务端口(对象管理)

首先,为需要映射的端口创建一个服务对象,方便后续策略调用

  • 路径对象管理 -> 服务 -> 自定义服务,点击“新建”。

  • 名称:自定义,例如 Web-Server

  • 类型:根据你的服务选择,如 TCP

  • 目的端口:填写需要放行的端口号,例如 8081-8081

  • 点击“添加到列表”并“提交”。

2. 配置 IPv4 安全策略(核心操作)

这是放行流量的关键步骤。你需要创建一条策略,允许从外到内的访问

  • 路径上网行为管理 -> IPv4 策略,点击“新建”。

  • 源安全域:选择流量来源,例如 Untrust 或具体的外网接口。

  • 目的安全域:选择流量目的地,例如 Trust 或具体的内网接口。

  • 源地址:通常保持默认的 any

  • 目的地址:填写你内网服务器的 IP 地址

  • 服务:选择上一步创建的服务对象,例如 Web-Server

  • 动作:务必选择 Permit(允许)

  • 点击“提交”完成配置。

🚨 重点排查:检查策略路由 (PBR)

如果配置了安全策略后依然不通,请检查是否存在策略路由(PBR) 配置错误。一个常见的问题是,策略路由的源接口或入接口错误地配置成了 any,这可能导致来自外网的流量被错误地循环回外网,而无法到达内网服务器

  • 解决方法:检查策略路由配置,确保其入接口指定为内网接口,而不是 any

🔍 验证与调试

配置完成后,可以通过以下方式验证:

  • 查看会话:在 ACG 上检查会话表,确认有来自外网 IP 访问服务器端口的会话记录。

  • 查看日志:检查 ACG 的日志,看是否有相关流量被允许或拒绝的记录。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明