Configseverity: lowresolved
PAS-K1224 ACL 설정 오류로 내부망 특정 서비스 접근 불가
증상 및 본문
2024년 10월 1일 오후 4시, PAS-K1224 장비에 새로운 보안 정책 적용을 위해 ACL(Access Control List) 설정을 추가했습니다. 설정 완료 후 내부망의 특정 개발 서버(IP: 192.168.100.10)로의 SSH(Port 22) 접속이 불가능해지는 문제가 발생했습니다. 영향을 받는 사용자는 개발팀 20명이며, 업무 진행에 차질이 발생했습니다. ACL 추가 작업 시 기존 설정과의 충돌 여부를 확인했으나, 명확한 오류를 발견하지 못했습니다. 약 30분간 문제 해결을 위해 ACL 엔트리를 하나씩 비활성화하며 테스트를 진행했습니다. 다른 서비스는 정상 동작했습니다.
근본 원인
새로 추가된 ACL 엔트리가 기존의 허용 정책보다 우선순위가 높게 적용되어, 특정 포트로의 접속을 의도치 않게 차단했습니다.
조치
새로 추가된 ACL 엔트리의 순서를 재조정하여 기존 허용 정책보다 낮은 우선순위로 변경했습니다. 'config t' -> 'ip access-list extended <acl_name>' -> 'no permit tcp any host 192.168.100.10 eq 22' -> 'permit tcp any host 192.168.100.10 eq 22 sequence <higher_number>' -> 'write memory' 명령어를 통해 설정 순서를 조정했습니다. ACL 설정 시 'sequence' 옵션 활용에 주의하도록 했습니다.
코멘트 (0)
코멘트가 없습니다.