MA5200F配置了防止用户浏览网页的acl,但是用户还可以打开网页

发布时间:  2012-07-26 浏览次数:  75 下载次数:  0
问题描述
MA5200F MA2.10-7127版本,下面接入的是ip话吧用户,要求用户只能打ip电话而不能访问网站,于是配置了acl deny 80端口。但是用户还是可以打开网页。
告警信息
处理过程
1、登陆用户设备发现用户创建了单独voip域,配置了ucl 100,而且也配置了如下2条acl。
 rule 1 net-user deny tcp source-port eq www destination 100
 rule 0 user-net deny tcp source 100 source-port eq www
查看数据没有问题,封禁了80端口。
2、查看acl已经应用到了端口,说明已经生效。
3、让用户在机房其它端口用笔记本测试,不能打开网页,设备性能问题基本排除。
4、查看用户的计算机,使用抓包工具抓包,发现用户是通过了外网的某个代理服务器来打开的网页。关闭该代理端口后,用户不能打开网页问题解决。
分析:MA5200的acl只是封禁了80端口,而用户和代理之间是通过非80端口通信的,代理服务器通过非80端口将网页信息传回来,绕过了MA5200上的acl。
建议配置:一般ip话吧只需要访问软交换或者语音网关的ip地址就可以,通常是较少的几个地址,可以通过配置允许访问某些地址的acl来控制用户的权限,避免用户越权使用。
rule 1 net-user permit ip source 211.90.***.*** 0 destination 1
 rule 0 user-net permit ip source 1 destination 211.90.***.*** 0
 rule 2 user-net deny ip source 1
根因
1、MA5200的acl配置数据错误。
2、MA5200的acl未生效。
3、用户通过其它途径上网。

END