iKuai爱快流控路由

标题: 3.6.1的ACL失效 [打印本页]

作者: Evine 时间: 2022-3-24 16:18
标题: 3.6.1的ACL失效
本帖最后由 Evine 于 2022-3-27 12:50 编辑

我只有一条宽带，23444端口上跑着一个webui，设置了以下两条ACL规则：
1. 协议：tcp ，动作：允许，方向：转发，源地址：（一段公网ipv4范围），目的地址：（空），源端口：（空），目的端口：23444，连接方向匹配：关闭，进接口：任意，出接口：任意，周期：1234567，时段：00:00-23:59

2. 协议：tcp+udp，动作：阻断，方向：转发，源地址：（空），目的地址：（空），源端口：（空），目的端口：23444，连接方向匹配：关闭，进接口：任意，出接口：任意，周期：1234567，时段：00:00-23:59

然而经过测试，我使用所设置允许的公网ip范围之外的ip（也是ipv4）访问23444端口，仍然可以访问。而在之前使用3.5.x的版本时没有这个问题。

作者: 爱快技术支持01 时间: 2022-3-24 17:21
楼主您好，按照配置来看您的阻断规则方向改为进测试下呢
[进]：内网或外网进路由。
[转发]：路由接收到内网或外网数据然后把数据进行转发动作。

作者: Evine 时间: 2022-3-24 17:31
本帖最后由 Evine 于 2022-3-24 17:45 编辑

爱快技术支持01 发表于 2022-3-24 17:21
楼主您好，按照配置来看您的阻断规则方向改为进测试下呢
[进]：内网或外网进路由。
[转发]：路由接收到内网 ...

经测试，阻断这条规则的方向更改为“进”以后仍然是失效的。
再测试，我将第1条规则停用以后，也就是没有允许的ip了，第2条阻断规则保留，这样理论上说应该是禁止任何公网ip访问。然后第2条规则中的阻断方向无论是“进”还是“转发”，但实测下来，公网ip可以访问23444端口。

作者: Evine 时间: 2022-3-24 17:53
本帖最后由 Evine 于 2022-3-24 18:00 编辑

我决定先换回3.5.12，最近美国黑客找肉机找得厉害，没有ACL，我的机子就是一坨少了ACL保护的肉。
我也是最近看ssh日志，发现有我不允许的ip进来了，才发现这个bug。

作者: Evine 时间: 2022-3-25 00:19
3.5.12也不行，退到3.5.11才正常。

作者: Evine 时间: 2022-3-31 11:21

爱快技术支持01 发表于 2022-3-24 17:21
楼主您好，按照配置来看您的阻断规则方向改为进测试下呢
[进]：内网或外网进路由。
[转发]：路由接收到内网 ...

请问此bug是否确实存在？是否已经纳入下个版本的修改计划中呢？

作者: ndd200 时间: 2022-3-31 12:42
同样是3.6.1。
吓得我去测试了一遍规则，我这边配置的允许转发，禁止转发规则都是有效的。

作者: yckwan 时间: 2022-4-5 17:17

Evine 发表于 2022-3-25 00:19
3.5.12也不行，退到3.5.11才正常。

我这边目前3.5.12也遇到你类似的问题了，情况大概是新增的ACL不生效，但是我如果编辑到之前早期的ACL中又可以生效。不知道新版本是否有解决这个问题？楼主有尝试过吗？

作者: Evine 时间: 2022-4-12 16:55

yckwan 发表于 2022-4-5 17:17
我这边目前3.5.12也遇到你类似的问题了，情况大概是新增的ACL不生效，但是我如果编辑到之前早期的ACL中又 ...

没有，我打算先在3.5.11苟着。3.6.2以及之后的版本我没有测试了，不过看日志也知道爱快官方还没有修复此问题。

作者: Evine 时间: 2022-4-12 16:56

ndd200 发表于 2022-3-31 12:42
同样是3.6.1。
吓得我去测试了一遍规则，我这边配置的允许转发，禁止转发规则都是有效的。 ...

你是在3.6.1版本下全新配置ACL的，还是旧版本的配置升级的？

作者: snow2sun 时间: 2022-4-12 17:26
你是acl无效，我是发现从2.7.15升级上来acl就没起效，设不设置都不通，3.5.11也一样

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)