Закрыть сайт ACL-ом, Figabra, 12-Дек-08, 09:35 [смотреть все]Приветствую! Есть Cisco 2811 adventerprisek9-mz.124-13.bin, стояла задача закрыть вконтакте.ру. Нарисовал такой ACL:ip access-list extended deny-vkontakte deny ip any host 93.186.224.239 deny ip any host 93.186.225.6 deny ip any host 93.186.225.211 deny ip any host 93.186.225.212 deny ip any host 93.186.226.4 deny ip any host 93.186.226.5 deny ip any host 93.186.226.129 deny ip any host 93.186.226.130 deny ip any host 93.186.227.123 deny ip any host 93.186.227.124 deny ip any host 93.186.227.125 deny ip any host 93.186.227.126 deny ip any host 93.186.224.233 deny ip any host 93.186.224.234 deny ip any host 93.186.224.235 deny ip any host 93.186.224.236 deny ip any host 93.186.224.237 deny ip any host 93.186.224.238 permit ip any any ACL отрабатывает нормально. Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в ней данная задача, реализуется с помощью регулярных выражений)? Заранее спасибо!
|
- Закрыть сайт ACL-ом, usmt, 09:48 , 12-Дек-08 (1)
- Закрыть сайт ACL-ом, Figabra, 10:04 , 12-Дек-08 (2)
>[оверквотинг удален] >> deny ip any host 93.186.224.237 >> deny ip any host 93.186.224.238 >> permit ip any any >> >>ACL отрабатывает нормально. >>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в >>ней данная задача, реализуется с помощью регулярных выражений)? >>Заранее спасибо! > >ip urlfilter лучше, но не знаю поддерживает ли ASA Сделал так: ip urlfilter exclusive-domain deny vkontakte.ru Не спасло =( И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
- Закрыть сайт ACL-ом, blank, 10:40 , 12-Дек-08 (3)
- Закрыть сайт ACL-ом, Figabra, 10:45 , 12-Дек-08 (4)
>[оверквотинг удален] >>Сделал так: >> >>ip urlfilter exclusive-domain deny vkontakte.ru >> >>Не спасло =( >>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс? >> > >насколько я понял urlfilter привязывается к ip inspect а уже его можно >на интерфейс повесить Вопрос снят =) Еще раз спасибо за ответы!!! Кому интересно, вот ссылочка, там все расписано http://www.cisco.com/en/US/docs/ios/security/configuration/g...
- Закрыть сайт ACL-ом, Punks, 11:27 , 12-Дек-08 (5)
- Закрыть сайт ACL-ом, Figabra, 11:48 , 12-Дек-08 (6)
>[оверквотинг удален] >class-map match-any test > match protocol http host "*vkontakte.ru" > match protocol http host "*odnoklassniki.ru" > >policy-map test > class p2p > drop > >int gi0/0.18 >service-policy output test Только наверное надо вешать на INPUT, а не на OUTPUT service-policy input test и в случае с ip urlfilter, браузер рисует красивую надпись: HTTP Error 403 - Forbidden You do not have permission to access the document or program you requested. Кому как нравится =) Еще раз спасибо.
- Закрыть сайт ACL-ом, Punks, 13:55 , 12-Дек-08 (7)
- Закрыть сайт ACL-ом, Figabra, 14:06 , 12-Дек-08 (8)
>[оверквотинг удален] >>и в случае с ip urlfilter, браузер рисует красивую надпись: >>HTTP Error 403 - Forbidden >>You do not have permission to access the document or program you >>requested. >> >>Кому как нравится =) > >а тут вопрос скорее всегоу кого какой иос.как я понял это >фича исоа с фаерволом. >>Еще раз спасибо. Скорее всего. На 1811 с IOS c181x-advipservicesk9-mz.124-6.T3.bin работает на input. 1721 например, ip urlfilter не знает. Кстати у меня была глюкавая кошка, у которой NAT глючило со страшной силой. Начиная с того, что на Loopback и на сабинтерфейс, надо было ставить ip nat inside, иначе не работало. И заканчивая тем, что после cle ip nat tra force приходилось ее релоадить. Глюк был именно в железе.
- Закрыть сайт ACL-ом, frato, 14:33 , 04-Ноя-16 (9)
|