ACL 优先级的问题

wy315700 · 发表于 2024-6-27 16:48:16

本帖最后由 wy315700 于 2024-6-27 16:54 编辑

爱快的 ACL 文档里写的允许的优先级大于阻断。

但是好像不同粒度的匹配里，只要有一个允许。那么力度更细的阻断就不会生效。

我现在是这样 3 条规则。

1. 禁止访问目标 IP 120.233.x.x
2. 允许访问目标 IP 120.233.x.x 的 443 端口
3. 禁止 192.168.1.3 访问目标 IP 120.233.x.x 的 443 端口

但是实践下来发现第三条没有生效。因为第二条的允许优先级大于第三条。但是其实第三条的规则会比第二条更细致。

系统是最新版 3.7.13

刚刚又做了个实验。。

这样两条规则的话，第二条阻断是无效的。

爱快技术支持07 · 发表于 2024-6-27 16:54:34

楼主您好，有冲突或包含部分都是优先匹配允许，第二条规则已允许所有ip访问120.233.x.x的443端口，再定义有源地址的阻断都是不生效的，图中的第二条规则同理，您如果要单独禁止192.168.1.3，建议以ip段的形式做允许规则，如允许规则的源地址不要包含192.168.1.3

wy315700 · 发表于 2024-6-27 16:55:36

爱快技术支持07 发表于 2024-6-27 16:54楼主您好，有冲突或包含部分都是优先匹配允许，第二条规则已允许所有ip访问120.233.x.x的443端口，再定义有 ...

允许规则能做某个 IP 段但是除了某几个 IP 的吗。。

wy315700 · 发表于 2024-6-27 16:57:40

因为我们现在在再把爱快当路由网关在用，内网有一段公网地址。想在爱快上只允许外网访问内部的 80 443 端口。屏蔽其他端口

但是又想屏蔽掉特定的爬虫 IP 段。

爱快技术支持07 · 发表于 2024-6-27 17:14:27

wy315700 发表于 2024-6-27 16:57因为我们现在在再把爱快当路由网关在用，内网有一段公网地址。想在爱快上只允许外网访问内部的 80 443 端口 ...

楼主您好，您这个情况，建议在第二条允许访问80和443端口的规则里，源地址使用ip段，把想屏蔽的爬虫ip段剔除。

wy315700 · 发表于 2024-6-27 17:26:56

爱快技术支持07 发表于 2024-6-27 17:14楼主您好，您这个情况，建议在第二条允许访问80和443端口的规则里，源地址使用ip段，把想屏蔽的爬虫ip段 ...

但是全球 ipv4 这么多网段。全部加进去也不现实吧。

9527 · 发表于 2024-6-27 18:10:03

wy315700 发表于2024-06-27 17:26:56

但是全球 ipv4 这么多网段。全部加进去也不现实吧。

地址留空就是全部的意思，右上角帮助页面都有说明。

消息来自爱快e云

xibanya · 发表于 2024-6-27 21:18:08

不如直接在爱快跟服务器之间插入个个开源防火墙。配合geiop，Suricata的ids ips，crowdsec这些反入侵来防御。

消息来自爱快e云

wy315700 · 发表于 2024-6-27 21:56:45

9527 发表于 2024-6-27 18:10地址留空就是全部的意思，右上角帮助页面都有说明。

我指的是

建议在第二条允许访问80和443端口的规则里，源地址使用ip段，把想屏蔽的爬虫ip段剔除。

这种没法把地址留空吧。得把剔除以后的 IP 段一个个加进去。

wy315700 · 发表于 2024-6-27 21:58:06

xibanya 发表于 2024-6-27 21:18不如直接在爱快跟服务器之间插入个个开源防火墙。配合geiop，Suricata的ids ips，crowdsec这些反入侵来防 ...

现在只能服务器上用 iptables 进行防护了。缺点就是每台机器上都要设置一遍。。。

		自动登录	找回密码
密码			立即注册

ACL 优先级的问题

站长推荐 /1