访问控制列表(ACL)是允许和拒绝条件的集合。ACL指定哪些用户或系统进程被授予对特定资源的访问权限。ACL可以阻止任何不必要的访问网络资源的尝试。当您在两台路由器上都配置了ACL,但其中一台路由器无法区分ACL允许的流量列表和拒绝的流量列表时,可能会出现这种情况。Zenmap是一种开源工具,用于检查活动数据包过滤器/防火墙的类型,用于测试配置。
本文介绍如何对两个VPN路由器之间网关到网关VPN上不起作用的允许ACL进行故障排除。
· RV016
· RV042
· RV042G
· RV082
•v4.2.2.08
步骤1.登录Web配置实用程序,然后选择Firewall > Access Rules。“访问规则”页打开:
注意:无法编辑默认访问规则。上述图像中提到的用户配置的访问规则可以通过以下过程进行编辑。
步骤2.单击“添加”按钮添加新的访问规则。“访问规则”页面将更改为显示“服务”和“计划”区域。以下步骤将介绍添加一个访问规则。
步骤3.从“操作”下拉列表中选择“拒绝”以拒绝服务。
步骤4.从“服务”下拉列表中选择应用于规则的所需服务。
第5步。(可选)要添加服务下拉列表中不存在的服务,请点击服务管理。在服务管理中,可以根据需要创建服务。创建服务后,单击“确定”以保存设置。
步骤6.从“日志”下拉列表中为仅匹配的日志选择“日志”数据包,为不匹配访问规则的日志选择“不记录”。
步骤7.从Source Interface下拉列表中选择接口类型,该接口类型是访问规则的源。可用选项包括:
· LAN — 如果源接口是局域网,则选择LAN。
· WAN — 如果源接口是ISP,则选择WAN。
· DMZ — 如果源接口是隔离区,则选择DMZ。
· ANY — 选择ANY将源接口作为上述任何接口。
步骤8.从Source IP下拉列表中,选择适用于访问规则的所需源地址。可用选项包括:
·单个 — 如果单个IP地址是单个IP地址,则选择单个并输入IP地址。
·范围 — 如果范围是IP地址范围,则选择范围,并输入范围中的第一个和最后一个IP地址。
· ANY — 选择ANY,将规则应用于所有源IP地址。
步骤9.从Destination IP下拉列表中,选择适用于访问规则的所需目标地址。可用选项包括:
·单个 — 如果单个IP地址是单个IP地址,则选择单个并输入IP地址。
·范围 — 如果范围是IP地址范围,则选择范围,并输入范围中的第一个和最后一个IP地址。
· ANY — 选择ANY将规则应用于所有目标IP地址。
步骤10.从Time下拉列表中选择定义规则何时处于活动状态的方法。它们是:
·始终 — 如果从“时间”下拉列表中选择“始终”,则访问规则将始终应用于流量。
· Interval — 如果从Time下拉列表中选择Interval,则可以选择访问规则处于活动状态的特定时间间隔。指定时间间隔后,从Effective On字段选中希望访问规则处于活动状态的天的复选框。
步骤11.单击“保存”以保存设置。
步骤12.重复步骤2至10,将字段分别与图中所示字段匹配。此处应用按客户划分的访问规则。前7个允许某些服务;第8个拒绝所有其他流量。此配置也在第二台路由器上进行。允许IPSec端口500。
注意:对两台路由器执行此操作,以检验是否根据需要配置了访问规则。
VPN路由器编号1
VPN路由器2
步骤13.从http://nmap.org/download.html安装Zenmap(NMAP),然后在192.168.2.0 LAN的PC上启动它。
注意:这是路由器后面的LAN,带有另外七个ACL。目标IP(192.168.1.101)是远程网关LAN上的PC。
步骤14.从配置文件中选择Quick Scan,然后单击Scan。通过此步骤,我们可以了解根据ACL打开和过滤的端口,如上图所示。输出显示,无论在RV0xx # 1上配置了哪些允许的ACL,这些端口都处于关闭状态。如果我们尝试检查远程网关的LAN IP(192.168.1.1)端口 — 我们发现端口80和443处于打开状态(已关闭PC 192.1)68.1.101)。
删除第7个被拒绝的ACL后,ACL能正常运行,从输出中可以看出,ACL工作正常。