https://www.opennet.ru/openforum/vsluhforumID6/2146.html Всем привет!<br><br>Такая проблема, нужно организовать доступ одному ПК на один URL. <br>Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти каждый день.<br><br><br>железка Cisco 2921<br><br>Подскажите как можно организовать доступ?<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#8 Thu, 30 Mar 2017 05:44:38 GMT &gt; Подскажите как можно организовать доступ?<br><br>Прозрачный squid с ssl_bump на пути траффика. Если бюджетно.<br>Если небюджетно, то решения типа СКАТ, до десятков гигабит.<br><br>Если костыли делать, то запретить клиенту обращаться к левым DNS, а на своем поднять bind с RPZ, где по умолчанию все имена заруливать в 127.0.0.1, а разрешенные пропускать.<br>Есесно это можно обойти правкой hosts, но не для средних умов.<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#7 Thu, 30 Mar 2017 01:25:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; мне ip-адресами.<br>&gt;&gt;&gt;&gt; Вроде работает.<br>&gt;&gt;&gt; Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS <br>&gt;&gt;&gt; RPZ.<br>&gt;&gt;&gt; Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949 <br>&gt;&gt; Фильтрация на cisco возможна только по ip-адресам.<br>&gt;&gt; Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на <br>&gt;&gt; DNS-сервере добавил зону с этими же ip-адресами.<br>&gt; 1. Я в курсе возможностей Cisco.<br>&gt; 2. Вы собираетесь добавлять весь список IP адресов akamai technologies?<br><br>думаю 10-15 адресов будет достаточно. Зачем все адреса добавлять?<br>Решение с днс-зоной не считаю правильной и красивой. Поэтому и завел тему для обсуждения.<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#6 Wed, 29 Mar 2017 10:15:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Не понял... Что это даст? CNAME это же просто замена имени.<br>&gt;&gt;&gt; Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными <br>&gt;&gt;&gt; мне ip-адресами.<br>&gt;&gt;&gt; Вроде работает.<br>&gt;&gt; Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS <br>&gt;&gt; RPZ.<br>&gt;&gt; Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949 <br>&gt; Фильтрация на cisco возможна только по ip-адресам.<br>&gt; Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на <br>&gt; DNS-сервере добавил зону с этими же ip-адресами.<br><br>1. Я в курсе возможностей Cisco.<br>2. Вы собираетесь добавлять весь список IP адресов akamai technologies?<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#5 Wed, 29 Mar 2017 07:53:50 GMT &gt;&gt;&gt;&gt; Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти <br>&gt;&gt;&gt;&gt; каждый день.<br>&gt;&gt;&gt; Сделай CNAME в своём DNS и переставляй "почти каждый день".<br>&gt;&gt; Не понял... Что это даст? CNAME это же просто замена имени.<br>&gt;&gt; Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными <br>&gt;&gt; мне ip-адресами.<br>&gt;&gt; Вроде работает.<br>&gt; Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS <br>&gt; RPZ.<br>&gt; Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949 <br><br>Фильтрация на cisco возможна только по ip-адресам. <br>Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на DNS-сервере добавил зону с этими же ip-адресами.<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#4 Wed, 29 Mar 2017 05:45:00 GMT &gt;&gt;&gt; Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти <br>&gt;&gt;&gt; каждый день.<br>&gt;&gt; Сделай CNAME в своём DNS и переставляй "почти каждый день".<br>&gt; Не понял... Что это даст? CNAME это же просто замена имени.<br>&gt; Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными <br>&gt; мне ip-адресами.<br>&gt; Вроде работает.<br><br>Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS RPZ.<br>Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#3 Wed, 29 Mar 2017 00:56:05 GMT &gt;&gt; Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти <br>&gt;&gt; каждый день.<br>&gt; Сделай CNAME в своём DNS и переставляй "почти каждый день".<br><br>Не понял... Что это даст? CNAME это же просто замена имени. <br><br><br>Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными мне ip-адресами. <br>Вроде работает. <br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#2 Tue, 28 Mar 2017 13:21:04 GMT &gt; Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти <br>&gt; каждый день.<br><br>Сделай CNAME в своём DNS и переставляй "почти каждый день".<br> https://www.opennet.ru/openforum/vsluhforumID6/2146.html#1 Tue, 28 Mar 2017 09:11:02 GMT &gt; Всем привет!<br>&gt; Такая проблема, нужно организовать доступ одному ПК на один URL.<br>&gt; Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти <br>&gt; каждый день.<br>&gt; железка Cisco 2921 <br>&gt; Подскажите как можно организовать доступ?<br><br>Соорудить прокси.<br>Средствами 2921 вроде как никак.<br>