URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1998
[ Назад ]
Исходное сообщение
"Блокировка по ip в ACL"
Отправлено pedogenocid , 13-Июл-16 15:57 
Здравствуйте!
Подскажите как реализовать блокировку по IP на циске адреса из реестра запрещенных сайтов.Создавать ACL и вешать на интерфейс или  через route-map кидать в null???

Кто с таким сталкивался, подскажите!

Содержание
Сообщения в этом обсуждении
"Блокировка по ip в ACL"
Отправлено shadow_alone , 14-Июл-16 02:56 
если ключевое "запрещенных сайтов", то ACL, потому как через route map, полностью адреса заблокируете. А вам то, только сайты нужно блокировать...

>Кто с таким сталкивался, подскажите!

Непонятен вопрос... сталкивались с чем таким? и что подсказать?

"Блокировка по ip в ACL"
Отправлено pedogenocid , 14-Июл-16 06:51 
> если ключевое "запрещенных сайтов", то ACL, потому как через route map, полностью
> адреса заблокируете. А вам то, только сайты нужно блокировать...
>>Кто с таким сталкивался, подскажите!
> Непонятен вопрос... сталкивались с чем таким? и что подсказать?

Здесь скорее ключевое слово "реестр" )). Как я понял многие операторы фильтруют по ip, так вот мне и интересно каким образом на кошке можно закрыть over20k записей, ACL-ом???

Конкретного примера в сети не нашел, одна надежда на opennet)

"Блокировка по ip в ACL"
Отправлено crash , 14-Июл-16 07:04 
>> если ключевое "запрещенных сайтов", то ACL, потому как через route map, полностью
>> адреса заблокируете. А вам то, только сайты нужно блокировать...
>>>Кто с таким сталкивался, подскажите!
>> Непонятен вопрос... сталкивались с чем таким? и что подсказать?
> Здесь скорее ключевое слово "реестр" )). Как я понял многие операторы фильтруют
> по ip,

а может не по ip, а доменному имени? Такой вариант даже не рассматривался?

"Блокировка по ip в ACL"
Отправлено pedogenocid , 14-Июл-16 07:05 
>>> если ключевое "запрещенных сайтов", то ACL, потому как через route map, полностью
>>> адреса заблокируете. А вам то, только сайты нужно блокировать...
>>>>Кто с таким сталкивался, подскажите!
>>> Непонятен вопрос... сталкивались с чем таким? и что подсказать?
>> Здесь скорее ключевое слово "реестр" )). Как я понял многие операторы фильтруют
>> по ip,
> а может не по ip, а доменному имени? Такой вариант даже не
> рассматривался?

Чем проще костыль, тем лучше наверное

"Блокировка по ip в ACL"
Отправлено ShyLion , 14-Июл-16 06:29 
> Здравствуйте!
> Подскажите как реализовать блокировку по IP на циске адреса из реестра запрещенных
> сайтов.Создавать ACL и вешать на интерфейс или  через route-map кидать
> в null???
> Кто с таким сталкивался, подскажите!

Вам сюда:
http://shop.nag.ru/catalog/14605.SKAT/15405.Komplekty/14622....

"Блокировка по ip в ACL"
Отправлено pedogenocid , 14-Июл-16 06:48 
>> Здравствуйте!
>> Подскажите как реализовать блокировку по IP на циске адреса из реестра запрещенных
>> сайтов.Создавать ACL и вешать на интерфейс или  через route-map кидать
>> в null???
>> Кто с таким сталкивался, подскажите!
> Вам сюда:
> http://shop.nag.ru/catalog/14605.SKAT/15405.Komplekty/14622....

Меня интересует как люди на кошке реализуют. Понятно, что купить готовое решение быстро и просто, но  "денег нет, вы там держитесь" (с)
Говорят, что мелкие операторы блочат по ip, а конкретного примера реализации не нашел...То ли тупо забили на это, то ли ...

"Блокировка по ip в ACL"
Отправлено gfh1gfh , 14-Июл-16 08:23 
> Меня интересует как люди на кошке реализуют. Понятно, что купить готовое решение
> быстро и просто, но  "денег нет, вы там держитесь" (с)
> Говорят, что мелкие операторы блочат по ip, а конкретного примера реализации не
> нашел...То ли тупо забили на это, то ли ...

Логика подсказывает что на цисках такое лучше не делать, гораздо проще поставить линуксовый сервак который будет только блочить неугодные ip, подтягивать списки скриптами и т.д..

"Блокировка по ip в ACL"
Отправлено ShyLion , 14-Июл-16 09:54 
Что мешает попробовать ?
Можно не acl yf 20000 строк, а object-group network, например, и на нее ссылаться из ACL, хотя нужно смотреть ограничения платформы.
КАКОЙ роутер?
"Блокировка по ip в ACL"
Отправлено pedogenocid , 14-Июл-16 10:36 
> Что мешает попробовать ?
> Можно не acl yf 20000 строк, а object-group network, например, и на
> нее ссылаться из ACL, хотя нужно смотреть ограничения платформы.
> КАКОЙ роутер?

7206 NPE-G1

"Блокировка по ip в ACL"
Отправлено ShyLion , 14-Июл-16 14:49 
>> Что мешает попробовать ?
>> Можно не acl yf 20000 строк, а object-group network, например, и на
>> нее ссылаться из ACL, хотя нужно смотреть ограничения платформы.
>> КАКОЙ роутер?
> 7206 NPE-G1

Сходу не нагуглилось про ораничения. Попробуй сгенерить аксес лист и повесить на интерфейс тестовый.

"Блокировка по ip в ACL"
Отправлено Del , 14-Июл-16 19:21 
> Здравствуйте!
> Подскажите как реализовать блокировку по IP на циске адреса из реестра запрещенных
> сайтов.Создавать ACL и вешать на интерфейс или  через route-map кидать
> в null???
> Кто с таким сталкивался, подскажите!

Может лучше маршруты /32 генерить в null ?

"Блокировка по ip в ACL"
Отправлено ShyLion , 15-Июл-16 08:28 
> Здравствуйте!
> Подскажите как реализовать блокировку по IP на циске адреса из реестра запрещенных
> сайтов.Создавать ACL и вешать на интерфейс или  через route-map кидать
> в null???
> Кто с таким сталкивался, подскажите!

Можно еще с линуха/фряхи сливать по BGP/OSPF маршруты и веб-запросы перехватывать и анализировать/перехватывать squid'ом.

Но руки должны расти из плеч.

"Блокировка по ip в ACL"
Отправлено Del , 15-Июл-16 09:57 
>> Здравствуйте!
>> Подскажите как реализовать блокировку по IP на циске адреса из реестра запрещенных
>> сайтов.Создавать ACL и вешать на интерфейс или  через route-map кидать
>> в null???
>> Кто с таким сталкивался, подскажите!
> Можно еще с линуха/фряхи сливать по BGP/OSPF маршруты и веб-запросы перехватывать и
> анализировать/перехватывать squid'ом.
> Но руки должны расти из плеч.

Причем руки из плеч в основном у заполнятелей этого списка ;)