 Закрыть сайт ACL-ом,  Figabra, 12-Дек-08, 09:35 [смотреть все]Приветствую!
Есть Cisco 2811 adventerprisek9-mz.124-13.bin, стояла задача закрыть вконтакте.ру. Нарисовал такой ACL:ip access-list extended deny-vkontakte
deny ip any host 93.186.224.239
deny ip any host 93.186.225.6
deny ip any host 93.186.225.211
deny ip any host 93.186.225.212
deny ip any host 93.186.226.4
deny ip any host 93.186.226.5
deny ip any host 93.186.226.129
deny ip any host 93.186.226.130
deny ip any host 93.186.227.123
deny ip any host 93.186.227.124
deny ip any host 93.186.227.125
deny ip any host 93.186.227.126
deny ip any host 93.186.224.233
deny ip any host 93.186.224.234
deny ip any host 93.186.224.235
deny ip any host 93.186.224.236
deny ip any host 93.186.224.237
deny ip any host 93.186.224.238
permit ip any any ACL отрабатывает нормально.
Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в ней данная задача, реализуется с помощью регулярных выражений)?
Заранее спасибо!
|
- Закрыть сайт ACL-ом, usmt, 09:48 , 12-Дек-08 (1)
- Закрыть сайт ACL-ом, Figabra, 10:04 , 12-Дек-08 (2)
>[оверквотинг удален]
>> deny ip any host 93.186.224.237
>> deny ip any host 93.186.224.238
>> permit ip any any
>>
>>ACL отрабатывает нормально.
>>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в
>>ней данная задача, реализуется с помощью регулярных выражений)?
>>Заранее спасибо!
>
>ip urlfilter лучше, но не знаю поддерживает ли ASA Сделал так: ip urlfilter exclusive-domain deny vkontakte.ru Не спасло =(
И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
- Закрыть сайт ACL-ом, blank, 10:40 , 12-Дек-08 (3)
- Закрыть сайт ACL-ом, Figabra, 10:45 , 12-Дек-08 (4)
>[оверквотинг удален]
>>Сделал так:
>>
>>ip urlfilter exclusive-domain deny vkontakte.ru
>>
>>Не спасло =(
>>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
>>
>
>насколько я понял urlfilter привязывается к ip inspect а уже его можно
>на интерфейс повесить Вопрос снят =)
Еще раз спасибо за ответы!!! Кому интересно, вот ссылочка, там все расписано
http://www.cisco.com/en/US/docs/ios/security/configuration/g...
- Закрыть сайт ACL-ом, Punks, 11:27 , 12-Дек-08 (5)
- Закрыть сайт ACL-ом, Figabra, 11:48 , 12-Дек-08 (6)
>[оверквотинг удален]
>class-map match-any test
> match protocol http host "*vkontakte.ru"
> match protocol http host "*odnoklassniki.ru"
>
>policy-map test
> class p2p
> drop
>
>int gi0/0.18
>service-policy output test Только наверное надо вешать на INPUT, а не на OUTPUT
service-policy input test и в случае с ip urlfilter, браузер рисует красивую надпись:
HTTP Error 403 - Forbidden
You do not have permission to access the document or program you requested. Кому как нравится =)
Еще раз спасибо.
- Закрыть сайт ACL-ом, Punks, 13:55 , 12-Дек-08 (7)
- Закрыть сайт ACL-ом, Figabra, 14:06 , 12-Дек-08 (8)
>[оверквотинг удален]
>>и в случае с ip urlfilter, браузер рисует красивую надпись:
>>HTTP Error 403 - Forbidden
>>You do not have permission to access the document or program you
>>requested.
>>
>>Кому как нравится =)
>
>а тут вопрос скорее всегоу кого какой иос.как я понял это
>фича исоа с фаерволом.
>>Еще раз спасибо. Скорее всего.
На 1811 с IOS c181x-advipservicesk9-mz.124-6.T3.bin работает на input.
1721 например, ip urlfilter не знает.
Кстати у меня была глюкавая кошка, у которой NAT глючило со страшной силой. Начиная с того, что на Loopback и на сабинтерфейс, надо было ставить ip nat inside, иначе не работало. И заканчивая тем, что после cle ip nat tra force приходилось ее релоадить. Глюк был именно в железе.
- Закрыть сайт ACL-ом, frato, 14:33 , 04-Ноя-16 (9)
|
Версия для распечатки
