防火墙放通内网不同网段互访后不生效的诊断(ReOS V10.3)
文档编号:1104
浏览:6508 评分:6
最后更新于:2012-02-06
此文档基于HiPER 811 v10.3版本
问题描述:
用户内网有两个网段,一个为:192.168.16.1/24,另一个为:192.168.1.1/24。用户现在希望内网只有pc 192.168.16.2能访问192.168.1.1/24,其余的不能互相访问,同时内网192.168.1.1/24网段在最早的策略中已配置为不能上外网。
配置如图1:先打开网络安全 —> 防火墙 —> 策略列表,在这个界面,显示了用户自己配置的防火墙策略:ID为5:允许了192.168.16.2到192.168.1.1/24的所有服务,ID为6:禁止192.168.16.3—>192.168.16.255到192.168.1.1/24的所有服务,ID为4:禁止了192.168.1.1/24到目的所有地址的所有服务。
图1
测试结果:192.168.16.2仍然不能访问192.168.1.1/24。
问题诊断:
防火墙的匹配是从上往下匹配的,对于内网的互相访问,在该防火墙的配置情况下匹配了两次:对于源为192.168.16.2去往192.168.1.1/24的包,匹配策略5通过,但对于源为192.168.1.1/24,目的为192.168.16.2的包时,此时匹配了策略4,被防火墙禁止了,所以,以上用户的新需求不能实现。
解决方案:
网络安全 —> 防火墙 —> 策略配置,在策略4前添加一条放通192.168.1.1/24到192.168.16.2的所有服务,即可实现。如图2所示:
图2
此时防火墙的策略列表如图3所示:
图3
总结:防火墙是从上往下进行匹配的,因此顺序很重要。数据包要有去也有回,要在两个方向都给予放通。
2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号