关于ACL访问控制的问题

xueh0

各位大佬，您们好！
我在使用爱快路由的过程中遇到一些ACL的问题，请看下图


这里用一个IP来测试

第一条是用来限制这个网段的所有IP访问外网
第二条是允许这个IP访问外网，但是又不能指定访问哪些IP，所以目的地址不填
第三条是阻止这个IP访问某些特定IP地址（屏蔽某些破解版软件后台发送信息给官方？）

但是实际测试了，发现这样的规则没用？？？
我查看了官方帮助说明-ACL规则，上面有一段话 "冲突时允许的优先级高于阻断的优先级"
我感觉这句话刚好是我所遇的问题，各位大佬看到这里有没有什么办法能够解决我这个问题？
在此感谢！

xueh0

爱快技术支持03 发表于 2019-12-18 11:42
ACL阻断全部，在单独放行可以访问的IP地址
（注意先配置ACL允许，在配置ACL阻断，防止配置完成阻断导致无 ...

这样对吗？但是我实际测试了，这样是不行的。因为第一允许这IP地址访问所有外网地址和第三条阻断某些IP地址的策略产生了冲突
而爱快的ACL文档说"冲突时允许的优先级高于阻断的优先级"，所以是否可以说明第三条策略是无效的？:(
难道爱快的ACL策略没有优先级可以调整吗？我在飞塔防火墙上做ACL策略是可以调整优先级的

爱快技术支持03

xueh0 发表于 2019-12-18 11:40
首先非常感谢你的回复，我明白你的意思
但是我这里的网络中有好多不同网段、不连续的IP可以访问外网
如果 ...

ACL阻断全部，在单独放行可以访问的IP地址
（注意先配置ACL允许，在配置ACL阻断，防止配置完成阻断导致无法进入路由器的操作界面）

xueh0

爱快技术支持03 发表于 2019-12-16 10:35
楼主您好，您可以设置两条ACL来实现您的需求
1：阻断源地址：10.10.6.1-10.10.6.131
            10.10.6.1 ...

首先非常感谢你的回复，我明白你的意思
但是我这里的网络中有好多不同网段、不连续的IP可以访问外网
如果按照你的方法的话，我需要把网络地址切割成好多个地址范围。这样是很麻烦的:)

爱快技术支持03

楼主您好，您可以设置两条ACL来实现您的需求
1：阻断源地址：10.10.6.1-10.10.6.131
            10.10.6.133-10.10.6.254
2：阻断，源地址是10.10.6.132，目的地址是你要访问的那些IP地址

xueh0

a1683636416 发表于 2019-12-14 15:34
不行的，这货的凡是这个地址池都不支持网段格式。
只能用上面那种方式，并且不能 10.10.6.0-10.10.6.255 ...

我上面的10.10.6.0地址只是用来表示我想要禁用某个网段访问外网，其实我也不是在那里设置的网段地址
我是在终端IP分组里面设置的



我这样的设置应该没有错吧:)

xueh0

a1683636416 发表于 2019-12-14 15:15
阻断的地址要填写为 10.10.6.1-10.10.6.254，而不是 10.10.6.0

谢谢大佬指点，这个我知道，只是忘记了填写/24  掩码位数 :)