cjh 疑问:是先做NAT还是ACL? (先nat还是先acl?)(较新版先NAT再acl)
疑问:是先做NAT还是ACL? (先nat还是先acl?)(较新版先NAT再acl)
问题描述
intern-------USG2200------PC
用户要求外网用户只能访问内网PC(192.168.0.1)的www端口做了如下配置
#
nat server protocol tcp global 201.1.1.1www inside 192.168.0.1 www
#
acl 3000
rule 0 permit tcp destination 192.168.0.1 0 destination-port eq www
rule 1 deny ip
#
firewall interzone trust untrust
packet-filter 3000 inbound
测试结果,外网可以访问内网PC的任何端口,而不被限制。
告警信息
无
处理过程
检查配置,发现配置没有问题。
通常情况由于设备做了地址映射,如果要限制访问,在ACL里面直接写映射后的私网地址即可。查看ACL发现规则没有命中。后来将ACL里面规则的地址换成转换前的公网地址,问题解决。
根因
1、配置问题
2、内网服务器问题
3、版本问题
建议与总结
在USG2200V1R1版本,设备会先匹配ACL再做NAT地址映射,故如果你在ACL配置规则是映射后的私网地址,那么不会命中也不会生效。必须将ACL里面规则改为公网地址。
在USG2200V1R2即以后的版本做了修改,设备先处理NAT地址映射再来匹配ACL。这个时候就需要在ACL限制转换后的私网地址,方可生效。
由于版本不一样导致USG2200对ACL和NAT处理顺序不一样
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 疑问:是先做NAT还是ACL? (先nat还是先acl?)(较新版先NAT再acl)
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 疑问:是先做NAT还是ACL? (先nat还是先acl?)(较新版先NAT再acl)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm