通过黑名单禁止外网某个ip访问内网服务器配置不成功

发布时间:  2012-07-17 浏览次数:  275 下载次数:  0
问题描述
公网-USG2110-内网服务器

客户手动将某个公网 ip (180.96.66.250 ) 地址加入黑名单, 不能访问内网服务器。配置后,发现此公网ip仍然可以访问服务器。
告警信息
处理过程
修改ACL 3500 配置,将IP 地址180.96.66.250 从rule 10 中去掉。此时可以发现此ip不能访内网服务器了
根因
  1. 通过查看黑名单表项信息,180.96.66.250在黑名单表项里未老化
[USG2110_F]dis firewall blacklist item
IP ADDRESS        REASON         INSERTTIME          AGETIME    VPN-INSTANCE
------------------------------------------------------------------------
180.96.66.250     Manual         2012/03/24 14:21:33 1000       public
2、通过命令display firewall blacklist enable,查看黑名单功能是否已经启用。
显示如下:
[USG2110_F]dis firewall blacklist enable
 Blacklist is Enabled
说明黑名单功能已经启用。
3、通过命令display current-configuration | include blacklist 查看黑名单配置。
显示如下:
firewall blacklist enable acl 3500
发现黑名单上绑定了ACL。
再查看ACL 3500 相关配置如下:
[USG2110_F]dis acl 3500
Advanced ACL  3500, 41 rules
Acl's step is 5
 rule 5 permit ip source 1.1.1.1 0 (0 times matched)
 rule 10 permit ip source 180.96.66.250 0 (3255 times matched)
可以看到,该ACL 包含了黑名单表项的IP 地址。
建议与总结

END