iKuai爱快流控路由

标题: 关于ACL访问控制的问题 [打印本页]
作者: xueh0    时间: 2019-12-14 14:16
标题: 关于ACL访问控制的问题
各位大佬,您们好!
我在使用爱快路由的过程中遇到一些ACL的问题,请看下图
(, 下载次数: 66)

这里用一个IP来测试

第一条是用来限制这个网段的所有IP访问外网
第二条是允许这个IP访问外网,但是又不能指定访问哪些IP,所以目的地址不填
第三条是阻止这个IP访问某些特定IP地址(屏蔽某些破解版软件后台发送信息给官方?)

但是实际测试了,发现这样的规则没用???
我查看了官方帮助说明-ACL规则,上面有一段话 "冲突时允许的优先级高于阻断的优先级"
我感觉这句话刚好是我所遇的问题,各位大佬看到这里有没有什么办法能够解决我这个问题?
在此感谢!



作者: a1683636416    时间: 2019-12-14 15:15
阻断的地址要填写为 10.10.6.1-10.10.6.254,而不是 10.10.6.0
作者: xueh0    时间: 2019-12-14 15:30
a1683636416 发表于 2019-12-14 15:15
阻断的地址要填写为 10.10.6.1-10.10.6.254,而不是 10.10.6.0

谢谢大佬指点,这个我知道,只是忘记了填写/24  掩码位数 :)
作者: a1683636416    时间: 2019-12-14 15:34
xueh0 发表于 2019-12-14 15:30
谢谢大佬指点,这个我知道,只是忘记了填写/24  掩码位数

不行的,这货的凡是这个地址池都不支持网段格式。
只能用上面那种方式,并且不能 10.10.6.0-10.10.6.255,前后两个广播地址会导致这货判断这个地址范围无效。
作者: xueh0    时间: 2019-12-14 15:42
a1683636416 发表于 2019-12-14 15:34
不行的,这货的凡是这个地址池都不支持网段格式。
只能用上面那种方式,并且不能 10.10.6.0-10.10.6.255 ...

我上面的10.10.6.0地址只是用来表示我想要禁用某个网段访问外网,其实我也不是在那里设置的网段地址
我是在终端IP分组里面设置的 (, 下载次数: 59)
(, 下载次数: 70)


我这样的设置应该没有错吧:)
作者: a1683636416    时间: 2019-12-14 16:01
xueh0 发表于 2019-12-14 15:42
我上面的10.10.6.0地址只是用来表示我想要禁用某个网段访问外网,其实我也不是在那里设置的网段地址
我是 ...
这样应该可以,之前 3.1 的时候 IP 分组还不能用网段,看了下 3.2.7 就已经支持。
所以想不懂怎么一个 IP 地址池之前不能用网段。
(, 下载次数: 0)
作者: 爱快技术支持03    时间: 2019-12-16 10:35
楼主您好,您可以设置两条ACL来实现您的需求
1:阻断源地址:10.10.6.1-10.10.6.131
            10.10.6.133-10.10.6.254
2:阻断,源地址是10.10.6.132,目的地址是你要访问的那些IP地址
作者: xueh0    时间: 2019-12-18 11:40
爱快技术支持03 发表于 2019-12-16 10:35
楼主您好,您可以设置两条ACL来实现您的需求
1:阻断源地址:10.10.6.1-10.10.6.131
            10.10.6.1 ...

首先非常感谢你的回复,我明白你的意思
但是我这里的网络中有好多不同网段、不连续的IP可以访问外网
如果按照你的方法的话,我需要把网络地址切割成好多个地址范围。这样是很麻烦的:)
作者: 爱快技术支持03    时间: 2019-12-18 11:42
xueh0 发表于 2019-12-18 11:40
首先非常感谢你的回复,我明白你的意思
但是我这里的网络中有好多不同网段、不连续的IP可以访问外网
如果 ...

ACL阻断全部,在单独放行可以访问的IP地址
(注意先配置ACL允许,在配置ACL阻断,防止配置完成阻断导致无法进入路由器的操作界面)
作者: xueh0    时间: 2019-12-18 12:04
爱快技术支持03 发表于 2019-12-18 11:42
ACL阻断全部,在单独放行可以访问的IP地址
(注意先配置ACL允许,在配置ACL阻断,防止配置完成阻断导致无 ...

(, 下载次数: 69)

这样对吗?但是我实际测试了,这样是不行的。因为第一允许这IP地址访问所有外网地址和第三条阻断某些IP地址的策略产生了冲突
而爱快的ACL文档说"冲突时允许的优先级高于阻断的优先级",所以是否可以说明第三条策略是无效的?:(
难道爱快的ACL策略没有优先级可以调整吗?我在飞塔防火墙上做ACL策略是可以调整优先级的




欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3