The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Настройка Cisco PIX для блокирования мультимедиа трафика (cisco pix firewall multimedia block)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, pix, firewall, multimedia, block,  (найти похожие документы)
From: cognize <cognize@ya.ru.> Newsgroups: email Date: Mon, 26 May 2009 17:02:14 +0000 (UTC) Subject: Настройка Cisco PIX для блокирования мультимедиа трафика В данной статье пойдёт речь о том, как настроить Cisco PIX для блокирования аудио и видео трафика. Мы рассмотрим несколько простых и стандартных методов: Прежде чем делать какие либо изменения сделайте резервную копию конфигурации Cisco PIX Метод первый - блокируем ip адреса или блок ip адресов (пул внешнего мультимедиа сервера) Это достаточно рутинная задача, но в некоторых случаях может быть эффективна. Что нам потребуется? 1) Узнать ip адрес мультимедиа сервера (или пул адресов) Для этого нужно воспользоваться командой nslookup. К примеру: nslookup Default Server: dns.ip.addr Address: 192.168.0.4 > youtube.com Server: dns.ip.addr Address: 192.168.0.4 Non-authoritative answer: Name: youtube.com Addresses: 208.117.236.69, 208.65.153.238 2) Создать список доступа, который будет запрещать доступ на данный ip адрес(а) access-list youtube deny ip any host 208.117.236.69 access-list youtube deny ip any host 208.65.153.238 3) Создать список доступа, разрешающий доступ на остальные хосты access-list permit_web_hosts permit ip any any 4) Применить список доступа на интерфейс (в нашем случае это внутренний интерфейс) access-group youtube in interface inside access-group permit_web_hosts in interface inside 5) Сохранить конфигурацию wr mem 6) Проверить С ПК, находящегося в локальной подсети пробуем подключиться к http://www.youtube.com Метод второй - блокируем порты мультимедиа сервисов Данным методом мы запретим хостам внутренней подсети обращаться на порты стандартных аудио и видео сервисов. Что нам потребуется? 1) Создать список доступа, содержащий требуемые порты access-list block_stream deny tcp any any eq 554 access-list block_stream deny udp any any eq 554 access-list block_stream deny udp any any eq 2979 access-list block_stream deny udp any any eq 1790 access-list block_stream deny udp any any eq 1755 access-list block_stream deny udp any any eq 1736 access-list block_stream deny udp any any eq 537 access-list block_stream deny tcp any any eq 2979 access-list block_stream deny tcp any any eq 1790 access-list block_stream deny tcp any any eq 1755 access-list block_stream deny tcp any any eq 1736 access-list block_stream deny tcp any any eq 537 2) Создать список доступа, разрешающий доступ на стандартные порты !--- Разрешаем DNS запросы access-list allow_ports permit tcp any any eq 53 access-list allow_ports permit udp any any eq 53 !--- Разрешаем Web трафик (http и https) access-list allow_ports permit tcp any any eq 80 access-list allow_ports permit tcp any any eq 443 !--- Разрешаем ICQ access-list allow_ports permit tcp any any eq 5190 !--- Разрешаем FTP access-list allow_ports permit tcp any any eq 21 !--- Разрешаем RDP access-list allow_ports permit tcp any any eq 3389 !--- Разрешаем почтовый трафик (SMTP и pop3) access-list allow_ports permit tcp any any eq 110 access-list allow_ports permit tcp any any eq 25 3) Применить список доступа на интерфейс (в нашем случае это внутренний интерфейс) access-group block_stream in interface inside access-group allow_ports in interface inside 4) Сохранить конфигурацию wr mem 5) Проверить С ПК, находящегося в локальной подсети необходимо подключиться к http://relax-fm.ru/online_unreg.php?br=32 и убедится в том, что проигрыватель не смог загрузить контент По материалам http://faq-cisco.ru

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Ваш комментарий
Имя:         
E-Mail:      
Заголовок:
Текст:





  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor