• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

msr3660-xs

5小时前提问
  • 0关注
  • 0收藏,57浏览
粉丝:0人 关注:0人

问题描述:

我有一台msr3660-xs 设备 外网接入到此设备 从外网其他设备使用 nc -zvu 设备接入IP 1 到65535 端口 都提示端口是开放的 请问如何在图形界面关闭这些udp端口

组网及组网描述:

MSR3660-XS

4 个回答
粉丝:19人 关注:2人

  1. 根因:无 UnTrust 入站 UDP 拦截策略,外网 UDP 探测全部放行;
  2. Web 核心操作:安全策略新建 untrust→any 拒绝 UDP;
  3. 配套放行 trust→untrust 全部协议,保证内网正常上网;
  4. 有对外 UDP 服务则在拦截规则上方单独放行指定端口。

暂无评论

粉丝:11人 关注:9人

1. 首先确认设备是否开启了UDP端口的全开放策略,可能是配置了允许所有UDP流量的ACL或安全策略。
2. 登录Web图形界面:打开浏览器输入设备管理IP,输入用户名密码登录。
3. 进入“安全”->“ACL”->“高级ACL”,检查是否存在允许所有UDP端口的规则(如源任意、目的任意、协议UDP、动作允许),若有则删除或修改。
4. 进入“安全”->“安全策略”,检查是否有允许所有UDP流量的策略,若有则调整策略为仅允许必要UDP端口(如DNS的53等)。
5. 若设备开启了UPnP功能,进入“服务”->“UPnP”,关闭UPnP避免自动开放端口。
6. 操作后保存配置,重新用nc测试确认端口是否关闭。
关键命令(若需命令行辅助):
display acl all //查看ACL规则
display security-policy all //查看安全策略
undo acl [编号] //删除不必要的ACL
undo security-policy rule [编号] //删除不必要的安全策略
undo upnp enable //关闭UPnP

暂无评论

粉丝:133人 关注:11人

acl限制,

无法直接关闭 

暂无评论

粉丝:23人 关注:1人

你遇到的这个问题,根源在于设备默认的防火墙策略对从外网(Untrust区域)发起的UDP探测是全放行的,并没有进行任何拦截

要解决它,最直接的办法就是配置一条安全策略,拒绝所有从外网到设备本身的UDP访问。这可以通过Web图形界面或命令行来完成。

如果你更习惯用命令行,也可以通过ACL实现同样效果:

  1. 进入系统视图:

    bash
    system-view
  2. 创建一个高级ACL,拒绝所有UDP流量:

    bash
    acl advanced 3000 rule 0 deny udp quit

    说明rule 0 deny udp 会拒绝所有UDP协议报文。如果需要更精细的控制(如仅拒绝特定端口),可以使用 rule deny udp destination-port eq <端口号>

  3. 将ACL应用到外网接口的入方向(inbound),以过滤从外网进入的UDP流量

    bash
    interface GigabitEthernet 0/0 # 请替换为你的实际外网接口 packet-filter 3000 inbound quit
  4. 保存配置:

    bash
    save

⚠️ 重要提醒

  • 避免误伤:直接拒绝所有UDP流量可能会影响正常的业务,例如从外网访问内部的DNS服务。

    • 如果没有任何对外UDP服务:可以直接拒绝所有UDP。

    • 如果存在对外UDP服务:需要在“拒绝所有”的策略上方,再添加一条优先级更高的“允许”策略,放行特定的UDP端口(如udp destination-port eq 53用于DNS)

  • 关闭非必要服务:除了配置策略,还应检查并关闭路由器上不必要的服务,如UPnP、SNMP等,它们也可能开放UDP端口。以UPnP为例,可在Web的“服务”->“UPnP”中关闭,或用命令 undo upnp enable

  • 验证配置:配置完成后,再次使用 nc -zvu <设备IP> 1-65535 命令进行测试,确认UDP端口不再响应

  • 配置备份:在进行任何更改前,建议先备份当前配置,以便在出现问题时能快速恢复。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明