The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Cisco 871, заблокировать скачивание *.exe"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от frato (ok) on 04-Ноя-16, 11:26 
Подскажите, пожалуйста,
Как на Cisco 871 заблокировать скачивание определённых типов файлов, например mp3, exe?
Есть такая возможность?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от cat84 (ok) on 04-Ноя-16, 13:28 
> Подскажите, пожалуйста,
> Как на Cisco 871 заблокировать скачивание определённых типов файлов, например mp3, exe?
> Есть такая возможность?

Поставить squid )
Либо squid + wccpv.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от frato (ok) on 04-Ноя-16, 18:20 
> Поставить squid )

У меня есть прокся, но хочу избавиться от неё и перейти на циску.
Вот нашёл вариант:
class-map match-any Software
   match protocol http url "*.exe"
   match protocol http url "*.rar"
и т.д.
Позже попробую.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от omnomnin on 04-Ноя-16, 19:03 
> Позже попробую.

Удачи с httpS

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от frato (ok) on 04-Ноя-16, 19:15 
> Удачи с httpS

Кстати, по ходу, такие настройки могут заблокировать экзэшники только в том случае, если это exe присутствует в урле. В остальных случаях нет.
Прийдётся тем, у кого есть инет, отключать возможность установки программ в локальных политиках компьютера.
Либо FireWall какой-нибудь поставить, т.к. имеющийся антивирус не внушает большого доверия.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от Pofigist on 19-Дек-16, 03:32 
>> Удачи с httpS
> Кстати, по ходу, такие настройки могут заблокировать экзэшники только в том случае,
> если это exe присутствует в урле. В остальных случаях нет.
> Прийдётся тем, у кого есть инет, отключать возможность установки программ в локальных
> политиках компьютера.
> Либо FireWall какой-нибудь поставить, т.к. имеющийся антивирус не внушает большого доверия.

Фактически тебе стоит почитать про ZBFW на кошках. То что ты привел - видимо кусок конфига оного :)
Главное - не блокируй скачивание com-файлов :)
В принципе можешь почитать еще и про DPI и NBAR - лишним не будет.
Кратко говоря - это все не панацея и антивирус не отменяет, просто снимает с него часть (весьма существенную к слову) нагрузки. И к слову - не отменяет и запретов на уровне локальных политик. Эти все меры (и не только их) необходимо использовать в комплексе.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco 871, заблокировать скачивание *.exe"  +/
Сообщение от Fwd (ok) on 06-Янв-17, 05:22 
> Подскажите, пожалуйста,
> Как на Cisco 871 заблокировать скачивание определённых типов файлов, например mp3, exe?
> Есть такая возможность?

Лучше FreeBSD Squid 3.5.10 Squid думаю

acl blocked_files urlpath_regex -i "/usr/local/etc/squid/special_files/blocked_files.txt"
http_access allow static !blocked_files


blocked_files.txt

в нутри файла txt
\.exe$


Cisco

Router(config)# ip cef

Router(config)#class-map match-any bad-traffic
Router(config-cmap)# match protocol http url "*readme.exe*"
Router(config-cmap)# match protocol http mime "*readme.exe*"

Router(config)#class-map match-all nbar
Router(config)# policy-map mark-bad-traffic
Router(config-pmap)# class bad-traffic
Router(config-pmap)# set ip dscp 1

Router(config)# interface serial 0/0
Router(config-if)#service-policy input mark-bad-traffic
Router(config)# access-list 190 deny ip any any dscp 1
Router(config)# access-list 190 permit ip any any

Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip access-group 190 out


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру