关于策略生效的顺序问题

jonnycn · 发表于 2009-2-18 10:31:07

问题：想让内网用户只访问www.google.cn 经过nslookup发现ip为203.208.39.99, 203.208.39.104。添加策略如下

验证策略生效

现象：客户端无法访问任何网站。
难道策略不是从上往下执行的？

[ 本帖最后由 jonnycn 于 2009-2-18 13:23 编辑 ]

panabit · 发表于 2009-2-18 12:01:38

原帖由 jonnycn 于 2009-2-18 10:31 发表
问题：想让内网用户只访问www.google.cn 经过nslookup发现ip为203.208.39.99, 203.208.39.104。添加策略如下

验证策略生效
http://p15.freep.cn/ ...

你看策略匹配的数据包为0，说明没有匹配。
BTW,你说的“客户端无法访问所有网站”是什么意思？

frog1984 · 发表于 2009-2-18 12:17:04

google.cn 不只一个IP吧.

DNS地址呢??不会这个也不放过吧.

panabit · 发表于 2009-2-18 12:21:09

原帖由 frog1984 于 2009-2-18 12:17 发表
google.cn 不只一个IP吧.

DNS地址呢??不会这个也不放过吧.

他没有控制DNS。

frog1984 · 发表于 2009-2-18 21:17:44

看错..第三个我还以为是全封了..

gzmars · 发表于 2009-2-18 23:03:43

试试直接在 IE 里用 IP 访问，看看能否访问到？

jonnycn · 发表于 2009-2-19 09:31:26

不是dns的问题，刚才试验过了，谁能给一个大概的策略

控制内网用户只能访问一个站点如www.163.com，能否实现？

可以做到但是比较麻烦，应为Panabit本身做协议的分析和流量的管控，至于封堵某个网站之类的需求在防火墙或网关上做是不是更好？

[ 本帖最后由 allenpeng 于 2009-2-19 14:12 编辑 ]

gzmars · 发表于 2009-2-19 16:22:11

原帖由 jonnycn 于 2009-2-19 09:31 发表
不是dns的问题，刚才试验过了，谁能给一个大概的策略

控制内网用户只能访问一个站点如www.163.com，能否实现？

可以做到但是比较麻烦，应为Panabit本身做协议的分析和流量的管控，至于封堵某个网站之类的需求在 ...

目前来说只能在路由或防火墙上设置访问白名单来实现，据说 panabit 下一版会增加对网址的管理。

jonnycn · 发表于 2009-2-20 10:21:07

谢谢，期待中

jsnjycy · 发表于 2009-2-26 09:23:36

GOOGLE这些网站应该都是做了负载均衡，每次访问的IP因该都不同的

		自动登录	找回密码
密码			注册