iKuai爱快流控路由

标题: 端口映射 ACL 正确的阻断姿势？ [打印本页]

作者: a1683636416 时间: 2020-1-16 18:07
标题: 端口映射 ACL 正确的阻断姿势？
(, 下载次数: 3)
如果是软路由的服务端口，好像三条规则就行。
(, 下载次数: 2)
一条允许特定 IP 进，两条阻断指定端口
(, 下载次数: 1)
因为内网里面有一台 ESXi，把这台的 443 映射为 9443，但是同样的一条允许两条阻断却不能正常生效
(, 下载次数: 2)
最后采用转发的方式给阻断掉，测试可行。
但是也测试过加内网地址和内网端口的一条允许两条阻断似乎也不能生效。
最后说一下，虽然说爱快的 ACL 略显麻烦，但是却可以做到精细化操作。
这个就有点像 iOS 简单还是和 Android 一样开放。
其实大多数人还是希望和 iOS 一样简单。

作者: 3950745@qq.com 时间: 2020-1-18 11:26
你这阻断在前能通？提了好多次让爱快可以调整ACL编号列表，到现在还没实现。

作者: 89993856 时间: 2020-1-18 11:42

3950745@qq.com 发表于 2020-1-18 11:26
你这阻断在前能通？提了好多次让爱快可以调整ACL编号列表，到现在还没实现。 ...

同样地址阻断优先级比通行高

作者: a1683636416 时间: 2020-1-18 14:39

3950745@qq.com 发表于 2020-1-18 11:26
你这阻断在前能通？提了好多次让爱快可以调整ACL编号列表，到现在还没实现。 ...

就是测试可行才发上来，不然这个 ACL 让很多人摸不着头脑。
端口要填写内网端口，而不是映射出去的外网端口。

作者: a1683636416 时间: 2020-1-18 14:58
本帖最后由 a1683636416 于 2020-1-18 14:59 编辑

3950745@qq.com 发表于 2020-1-18 11:26
你这阻断在前能通？提了好多次让爱快可以调整ACL编号列表，到现在还没实现。 ...

爱快的 ACL 也不是根据那条在前面那条就优先，这家产品和大多数人思维不一样（就连磁盘管理的分区大小也是非常独特），所以 ACL 阻断规则在前面也可以生效，这个我已经做过测试了。
(, 下载次数: 5)
而且 007 也在类似的帖子说了，允许的优先级大于阻断，所以只要匹配到允许的规则，那么阻断就不会生效，也就是说阻断在前或者在后都不会影响。

作者: 3950745@qq.com 时间: 2020-1-19 23:52

a1683636416 发表于 2020-1-18 14:39
就是测试可行才发上来，不然这个 ACL 让很多人摸不着头脑。
端口要填写内网端口，而不是映射出去的外网端 ...

既然是转发当然是目的端口，也就是内网端口。

作者: linnan2004 时间: 2020-1-20 08:32

89993856 发表于 2020-1-18 11:42
同样地址阻断优先级比通行高

错了

相同规则，允许优先

爱快的ACL，不是按照顺序执行，而是简单暴力的“允许优先”

作者: a1683636416 时间: 2020-1-20 18:09

linnan2004 发表于 2020-1-20 08:32
错了

相同规则，允许优先

这样描述也不正确，我的截图阻断和允许的规则并非只是在阻断和允许这两个地方不一样，允许的规则还包含了目标地址来源地址。

作者: 18171085370 时间: 2023-4-4 15:58
相同规则，允许优先

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)