msr20-40的ACL問題
- 0關注
- 0收藏,205瀏覽
問題描述:
大家好,請教一下:想設置1、內網主機192.168.20.212這台內網主機可以訪問公網IP 1.1.1.1 8084端口,2、其它內網主機均不能訪問1.1.1.1 8084端口,3、除8084端口外,1.1.1.1的其它端口所有內網主機都能訪問不限製
(1)現在我在路由器wan上設置outbound規則3000
interface GigabitEthernet2/3/1
packet-filter 3000 outbound
(2)ACL設置
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
rule 50 permit tcp source 192.168.20.212 0 destination 1.1.1.1 0 destination-port eq 8084
rule 53 deny tcp destination 1.1.1.1 0 destination-port eq 8084 (123 times matched)
現在問題是,為什麼192.168.20.212都不能正常訪問1.1.1.1的8084端口,不是應該匹配完rule50就不再往下匹配嗎?為什麼192.168.20.212還往下繼續匹配rule53,請教該如何修改規則,謝謝。
- 2025-05-24提問
- 舉報
-
(0)
如果接口配置了nat outbound,建議不用包過濾,配置為nat outbound 3000 ,acl中在後麵再加一條匹配允許所有的規則保障其他流量不受影響
- 2025-05-24回答
- 評論(6)
- 舉報
-
(0)
因為已經設置了nat outbound 2000,一般不想改動這條ACL了,請問如果是用包過濾如果設置,謝謝。
那為什麼能匹配到rule53 ?已經看到匹配的次數是 (123 times matched),就證明已經是能到包過濾的地方吧?謝謝。
先匹配nat做源轉換再匹配包過濾,所以源IP已經是轉換後的IP匹配不到50,rule53沒有寫源地址所以匹配得到
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
您好,剛剛嚐試過在路由器內網入口應用規則,已經成功生效了,非常感謝。