ACL规则好像没起作用

tanzhipeng1210

在IP分组里面加入了大量的外网风险IP地址大概有4.5万条左右，设置了ACL规则 阻断来自IP分组里面的任意访问，但是内部服务器日志还是发现来自这些IP的访问记录。

爱快技术支持09

方向改为转发。
进是指访问路由器本身。

爱快技术支持01

楼主您好，您目前路由器固件版本是多少呢建议升级最新版测试，ACL规则一条中数量过多建议分开设置规则测试下。

xibanya

失效的话，改下规则就可以。方向改为转发，进接口选上所有外线接口，匹配原始方向例如内网映射了rdp 3389出去
协议tcp
动作阻断
方向 转发
连接方向匹配 原始方向
源地址  xxxxx
目的 不写
目的端口 3389
进接口 xxxx,xxxx,xxxx,xxxxxx,xxxx

  

tanzhipeng1210

爱快技术支持01 发表于 2022-5-7 09:49
楼主您好，您目前路由器固件版本是多少呢建议升级最新版测试，ACL规则一条中数量过多建议分开设置规则测试 ...

版本是最新的，已经按照建议分开写 ，并将方向改为转发。一个IP组1000个IP 一条规则五个组(5000个IP)，目前未发现继续有访问记录，下午下班前再看看情况。谢谢技术人员

Hackman

爱快技术支持01 发表于 2022-5-7 09:49
楼主您好，您目前路由器固件版本是多少呢建议升级最新版测试，ACL规则一条中数量过多建议分开设置规则测试 ...

之前提过开放ACL接口的需求 如果说开放了 我这边直接调用本地的路由API 可以防护所有内网主机 之前写了个rdp防火墙工具 稍微修改下对接ACL的API的话 能实现很多自定义功能了

tanzhipeng1210

Hackman 发表于 2022-5-8 12:33
之前提过开放ACL接口的需求 如果说开放了 我这边直接调用本地的路由API 可以防护所有内网主机 之前写了个 ...

直接用post方式解决吧 我现在也是这样解决的 自己在网上收集恶意IP 然后通过post方式上传到爱快里面，目前程序也还在测试中

ben4399

;P楼主可以分享下IP组段不，我抓的深信服里面的

tanzhipeng1210

ben4399 发表于 2022-5-11 16:48
楼主可以分享下IP组段不，我抓的深信服里面的

等测试稳定了到时候直接把软件发出来，深信服的有抓取地址么能发一下么我一起弄进去

ddawx123

爱快技术支持01 发表于 2022-5-7 09:49
楼主您好，您目前路由器固件版本是多少呢建议升级最新版测试，ACL规则一条中数量过多建议分开设置规则测试 ...

爱快ipv6公网环境下 对内网某一台机器的ip地址设置acl策略阻止连接外网，ipv4地址全部生效了，但是没法 阻拦ipv6的流量是什么原因？是还没兼容吗？