iT邦幫忙

0

防火牆規則設定

最近在研究防火牆的設定值。
在策略裡面設定直看到一個看不懂設定的設定值,想請問板上各位高手,是否有遇過這樣的情況。
設定檔如下:
規則 來源 目的 時間表 服務 模式 啟動
wan1 -> dmz (4)
16 all all always ANY ACCEPT V
22 all 179 always HTTP ACCEPT V
25 all 188 always ANY ACCEPT V
27 all terminal_179 always ANY ACCEPT

原本以為只要設定
來源 目的 時間表 服務 模式 啟動
all all always ANY ACCEPT V
就可以涵蓋所有的設定。
所以就將剩下的規則停掉。
設定檔如下:
規則 來源 目的 時間表 服務 模式 啟動
wan1 -> dmz (4)
16 all all always ANY ACCEPT V
22 all 179 always HTTP ACCEPT
25 all 188 always ANY ACCEPT
27 all terminal_179 always ANY ACCEPT
設定完之後,卻發現公司網頁無法上線也無法瀏覽。
設定16規則不就是代表全部都允許通過??
關掉22 25規則後卻無法瀏覽網頁?
有高手遇過這樣的問題嗎??
小弟初學者,請各位高手指教,感謝。

把 16 那條規則移到最後一行試試
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
bluehsk
iT邦新手 3 級 ‧ 2012-07-18 11:53:03
最佳解答

1.請確認「服務」ANY的這個選項是否有包含HTTP

2.因規則22與25的「目的」 設定的179與188不知道是什麼意思
有看到179是單獨開HTTP的,所以猜測是不是ANY裡面沒有包含HTTP

3.確認以上兩點沒問題後,重開機器看看

您好,感謝您的回應。
剛剛開了防火牆來確定,ANY的選項當中已經包含HTTP。
但是問題還是一樣,煩請高手幫忙,感謝。

bluehsk iT邦新手 3 級 ‧ 2012-07-18 14:27:38 檢舉

那方便告知
「目的」的179跟118是指什麼嗎??
IP嗎??

bluehsk iT邦新手 3 級 ‧ 2012-07-18 14:32:38 檢舉

如果規則可以備份的話
可以先備份目前的設定
然後拿掉22、25、27的規則
只留16試試看

OS:規則16、22、25、27是序列號嗎??
如果是的話,是否還有17~21、24、26的規則未列出呢

2
ihon822
iT邦研究生 2 級 ‧ 2012-07-18 13:04:14

22 和 25 裡應該有設定 NAT 或 port fowarding
virtual server 和一般的 policy 不一樣

目前小弟還在研究中,感謝回應協助小弟。

2
aaronlin
iT邦新手 3 級 ‧ 2012-07-19 09:14:50

WAN1->DMZ
方向考慮的正確嗎??
這上面的意思是說外部的人要連入到內部的DMZ區的方向喔~~
應該沒搞錯吧????
確定清楚方向才能幫你解決問題!!Thanks!!

bluehsk iT邦新手 3 級 ‧ 2012-07-19 09:25:25 檢舉

這應該是沒錯的
應該是他把web server放置在dmz區

感謝高手的回答。
web server的確是放在DMZ區裡面。
所以在設定規則時必須另外再設定而不能用ANY來決定是否通過防火牆?

4
towns
iT邦新手 4 級 ‧ 2012-07-19 11:46:29
  1. 是否要先說您的設備規格型號。
    towns以前有遇過,有些設備要將所有設定(如防火牆、流量管理、DMZ、群組等等規則)設定完成後,才能正常運作

  2. 詢問設定時,直接詢問該設備的廠商,會比較快得到答案

感謝towns回應。
所以不單單是防火牆的設定而是要去看全部設備設定是否匹配,才能讓系統整個正常運作?

2
yach
iT邦新手 4 級 ‧ 2012-07-19 16:39:06

NAT沒開

2
sunrandy
iT邦新手 1 級 ‧ 2012-07-20 08:47:05

個人認為是Virtual IP未在目的端的ANY 內,
而179,188或是群組,則其成員應有設定WEB SERVER的Virtual IP,所才才會有此現象

我要發表回答

立即登入回答