|
Sophos XG在V18版後做了很大的變革,
NAT規則自原本防火牆規則分拆後,造成很多規則設定上的問題,
甚至有幾個客戶因為NAT規則的錯誤配置,而導致XG的失聯!
原本我以為在這情況下,只能恢復出廠預設值,然後再把備份的組態檔倒回去。
(這時候你就知道組態備份密碼與SSMK的重要性了吧!)
不過昨天客戶讓我知道了另一種更有效率的做法 - enable appliance_access。
其實console下的這個指令,我在一開始接觸Sophos XG時就知道了。
system appliance_access enable
我知道這指令在執行後,可以無視Device Access中的設定,
直接放行介面IP的連入權限。
但這指令 enable 後,會丟棄所有外出到internet的流量,
所以在正常運作情況下,appliance_access是要保持在disable這個狀態的。
我以為V18版後,錯誤的NAT規則會持續在XG中運作發酵,
即便是 enable appliance_access,也無濟於事...
但客戶讓我知道即便在錯誤的NAT規則作用下,
還是能透過 enable appliance_access 來放行介面IP的連入能力,進而去修復錯誤的NAT規則,
完成後再將appliance_access disable即可。
這真是很重要的一個資訊啊!
以下順子逐一解說,在錯誤的NAT規則作用下,如何恢復XG的正常使用。
- 首先找到一條console線來跟XG的COM port對接。
如果沒有慣用的console線或臨時找不到console線,
XG的配件盒裏有一條Micro-USB線,這條線就可以直接跟XG的Micro-USB port對接,
然後由電腦模擬出COM port來使用。
- Console線對接好後,接著開啟putty軟體。
連線速度的部分,請設定為38400,而不是預設的9600喔~
- 成功連線後,請輸入admin的密碼來進行登入。
由於console只允許admin這個特殊帳號登入,
因此,連線成功後,既不需要、也不允許透過其它帳號登入。
請直接輸入admin的密碼來進行登入。
- 成功以admin帳號登入後,選4進入Device Console。
然後再輸入以下指令,恢復XG LAN端WebUI登入功能。
system appliance_access enable
- 修正或停用錯誤的NAT規則後,記得再透過以下指令恢復XG的routing功能。
system appliance_access disable
♥順子老婆的網拍,請多關照~
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2022-11-25, 15:03
《分享》XG連不上了,怎麼辦?
《分享》找不到console線怎麼辦?