H3C ER5200G2 路由器,开启WEB页面的防火墙后,防火墙规则不生效
- 0关注
- 1收藏,2503浏览
问题描述:
H3C ER5200G2 路由器,WAN口接的运营商光猫设备。运营商提供了5个公网IP,路由器开启了NAT功能,一对一NAT。内网的几台服务器直接接入的这台路由器的LAN口。通过一对一NAT,通过公网IP向外提供服务。
开启WEB页面的防火墙功能后,缺省入站规则是禁止所有,但实际上防火墙功能没有生效。测试下来的效果是没有禁止任何入站,入站没有任何限制,服务器的服务端口都能正常访问。
想问下这个路由器的防火墙功能为什么生效不了,想在这个路由器上做入站访问策略。但实现不了,开启防火墙后,没有任何效果。
组网及组网描述:
- 2020-04-08提问
- 举报
-
(0)
最佳答案
nat和入站通信策略是互斥的两个功能,走nat流程就不走入站策略了。
http://www.h3c.com/cn/d_201909/1223355_30005_0.htm#_Toc13662376
· 当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许”
- 2020-04-08回答
- 评论(5)
- 举报
-
(0)
感谢您的回复,这个官方的说明文档我也看过,这里只是说NAT工作模式下,入站缺省策略不允许配置,我也不需要修改缺省配置。 您说的nat和入站通信策略是互斥的两个功能,走nat流程就不走入站策略了。 意思是开启了NAT后,防火墙的入站策略就不能生效吗?能给讲一下原理吗,谢谢!
对,我理解是一个报文到了路由器wan口后,要么走nat过程,要么走入站通信策略过程,不能先nat在入站,或者先入站再nat
为什么不能先NAT再入站呢,是这个设备不支持吗,还是理论上这样就实现不了。 打个比方,如果接入的设备是防火墙,防火墙也是开启了NAT功能的。入站到了防火墙后,应该是先走的NAT然后再匹配入站规则。 我理解的是防火墙设备可以达到这样的效果。 但因为这个是路由器上的防火墙功能,就达不到这样的效果是吗?
这个需求本身是没问题的,理论上没问题,这款设备现在实现不了。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
了解了,谢谢!