防火墙上做SSL VPN的策略问题!
- 0关注
- 1收藏,1219浏览
问题描述:
我在HCL模拟器上做SSL VPN,现在untrust-trust做的any到any后,ssl vpn客户端可以访问服务器(192.168.1.254),但是在实际工作中不能做any到any吧,我加了一个source-ip的过滤条件(写的对端公网地址100.1.1.1)不通!求大神看看这个策略应该怎么写?
组网及组网描述:
安全策略配置如下:
[f100-security-policy-ip]dis this
# security-policy ip
rule 0 name trust-local
action pass
source-zone trust
destination-zone local
rule 1 name untrust-local
action pass
source-zone Untrust
destination-zone Local
rule 2 name sslvpn-trust
action pass
source-zone sslvpn
destination-zone Trust
rule 10 name untrust-trust
action pass
source-zone untrust
destination-zone trust
source-ip 100.1.1.1 (加了这个过滤条件就不通)
- 2019-10-04提问
- 举报
-
(0)
最佳答案
改成192.168.2.0网段
<HZB7-R3-F1060-IRF>debug security-policy packet ip
This command is CPU intensive and might affect ongoing services. Are you sure you want to continue? [Y/N]:y
<HZB7-R3-F1060-IRF>t d
The current terminal is enabled to display debugging logs.
<HZB7-R3-F1060-IRF>t m
The current terminal is enabled to display logs.
复现问题
<HZB7-R3-F1060-IRF>undo debugging all //关闭debug
All possible debugging has been turned off.
224.0.0.5是ospf的组播地址,不用看。
查看一下untrust到trust的条目,根据它放通条目
- 2019-10-04回答
- 评论(12)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我也试过,不行的,我前面用抓 包软件看了下,原地址确实是100.1.1.1
debug security-policy packet ip //debug看看数据流,根据数据流来设置条件。
哇哦,debug不会用咯
见答案,供参考
大佬是高手啊,有没有你这个debug的资料,我想学习一下,重来都不会用debug
一般防火墙的配置指导书或者维护手册中可能会有些,供参考
好的
嗯嗯
*Oct 4 11:53:30:432 2019 f100 FILTER/7/PACKET: -COntext=1; The packet is permitted. Src-ZOne=Untrust, Dst-ZOne=Local;If-In=SSLVPN-AC1(1286), If-Out=SSLVPN-AC1(1286); Packet Info:Src-IP=192.168.10.2, Dst-IP=192.168.10.255, VPN-Instance=, Src-MacAddr=0000-0000-0000,Src-Port=137, Dst-Port=137, Protocol=UDP(17), Application=netbios-ns(50), SecurityPolicy=untrust-local, Rule-ID=1. 大佬,这个10网段是我设置的VPN连接成功后获取的IP网段,这里怎么会是untrust到local而不是trust区域呢?
netbios-ns(50)是协议的没什么用,ping一下看看UNtrust到trust的,根据信息去放通
是不是HCL模拟器有BUG呢,全是netbios-ns(50),没有untrust-trust数据
最好用真机吧,模拟器很少用