iKuai爱快流控路由

标题: ACL 优先级的问题 [打印本页]

---

作者: wy315700    时间: 2024-6-27 16:48
标题: ACL 优先级的问题


爱快的 ACL 文档里写的允许的优先级大于阻断。

但是好像不同粒度的匹配里，只要有一个允许。那么力度更细的阻断就不会生效。


我现在是这样 3 条规则。

1. 禁止访问目标 IP 120.233.x.x
2. 允许访问目标 IP 120.233.x.x 的 443 端口
3. 禁止 192.168.1.3 访问目标 IP 120.233.x.x 的 443 端口


但是实践下来发现第三条没有生效。因为第二条的允许优先级大于第三条。但是其实第三条的规则会比第二条更细致。

系统是最新版 3.7.13


刚刚又做了个实验。。

(, 下载次数: 0)

上传

点击文件名下载附件

这样两条规则的话，第二条阻断是无效的。

---

作者: 爱快技术支持07    时间: 2024-6-27 16:54
楼主您好，有冲突或包含部分都是优先匹配允许，第二条规则已允许所有ip访问120.233.x.x的443端口，再定义有源地址的阻断都是不生效的，图中的第二条规则同理，您如果要单独禁止192.168.1.3，建议以ip段的形式做允许规则，如允许规则的源地址不要包含192.168.1.3

---

作者: wy315700    时间: 2024-6-27 16:55

爱快技术支持07 发表于 2024-6-27 16:54楼主您好，有冲突或包含部分都是优先匹配允许，第二条规则已允许所有ip访问120.233.x.x的443端口，再定义有 ...

允许规则能做某个 IP 段但是除了某几个 IP 的吗。。

---

作者: wy315700    时间: 2024-6-27 16:57
因为我们现在在再把爱快当路由网关在用，内网有一段公网地址。想在爱快上只允许外网访问内部的 80 443 端口。屏蔽其他端口

但是又想屏蔽掉特定的爬虫 IP 段。

---

作者: 爱快技术支持07    时间: 2024-6-27 17:14

wy315700 发表于 2024-6-27 16:57因为我们现在在再把爱快当路由网关在用，内网有一段公网地址。想在爱快上只允许外网访问内部的 80 443 端口 ...

楼主您好，您这个情况，建议在第二条允许访问80和443端口的规则里，源地址使用ip段，把想屏蔽的爬虫ip段剔除。

---

作者: wy315700    时间: 2024-6-27 17:26

爱快技术支持07 发表于 2024-6-27 17:14楼主您好，您这个情况，建议在第二条允许访问80和443端口的规则里，源地址使用ip段，把想屏蔽的爬虫ip段 ...

但是全球 ipv4 这么多网段。全部加进去也不现实吧。

---

作者: 9527    时间: 2024-6-27 18:10

wy315700 发表于2024-06-27 17:26:56

但是全球 ipv4 这么多网段。全部加进去也不现实吧。

地址留空就是全部的意思，右上角帮助页面都有说明。

消息来自爱快e云

---

作者: xibanya    时间: 2024-6-27 21:18
不如直接在爱快跟服务器之间插入个个开源防火墙。配合geiop，Suricata的ids ips，crowdsec这些反入侵来防御。

消息来自爱快e云

---

作者: wy315700    时间: 2024-6-27 21:56

9527 发表于 2024-6-27 18:10地址留空就是全部的意思，右上角帮助页面都有说明。

我指的是

建议在第二条允许访问80和443端口的规则里，源地址使用ip段，把想屏蔽的爬虫ip段剔除。


这种没法把地址留空吧。得把剔除以后的 IP 段一个个加进去。

---

作者: wy315700    时间: 2024-6-27 21:58

xibanya 发表于 2024-6-27 21:18不如直接在爱快跟服务器之间插入个个开源防火墙。配合geiop，Suricata的ids ips，crowdsec这些反入侵来防 ...

现在只能服务器上用 iptables 进行防护了。缺点就是每台机器上都要设置一遍。。。

---

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)

Powered by Discuz! X3.3