URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17812
[ Назад ]

Исходное сообщение
"Закрыть сайт ACL-ом"
Отправлено Figabra , 12-Дек-08 09:35

Приветствую!
Есть Cisco 2811 adventerprisek9-mz.124-13.bin, стояла задача закрыть вконтакте.ру. Нарисовал такой ACL:
ip access-list extended deny-vkontakte
deny   ip any host 93.186.224.239
deny   ip any host 93.186.225.6
deny   ip any host 93.186.225.211
deny   ip any host 93.186.225.212
deny   ip any host 93.186.226.4
deny   ip any host 93.186.226.5
deny   ip any host 93.186.226.129
deny   ip any host 93.186.226.130
deny   ip any host 93.186.227.123
deny   ip any host 93.186.227.124
deny   ip any host 93.186.227.125
deny   ip any host 93.186.227.126
deny   ip any host 93.186.224.233
deny   ip any host 93.186.224.234
deny   ip any host 93.186.224.235
deny   ip any host 93.186.224.236
deny   ip any host 93.186.224.237
deny   ip any host 93.186.224.238
permit ip any any
ACL отрабатывает нормально.
Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в ней данная задача, реализуется с помощью регулярных выражений)?
Заранее спасибо!

Содержание

Закрыть сайт ACL-ом,usmt, 09:48 , 12-Дек-08
- Закрыть сайт ACL-ом,Figabra, 10:04 , 12-Дек-08
  - Закрыть сайт ACL-ом,blank, 10:40 , 12-Дек-08
    - Закрыть сайт ACL-ом,Figabra, 10:45 , 12-Дек-08
      - Закрыть сайт ACL-ом,Punks, 11:27 , 12-Дек-08
        
        Закрыть сайт ACL-ом,Figabra, 11:48 , 12-Дек-08
        
        Закрыть сайт ACL-ом,Punks, 13:55 , 12-Дек-08
        
        Закрыть сайт ACL-ом,Figabra, 14:06 , 12-Дек-08
        
        Закрыть сайт ACL-ом,frato, 14:33 , 04-Ноя-16

Сообщения в этом обсуждении

"Закрыть сайт ACL-ом"
Отправлено usmt , 12-Дек-08 09:48

>[оверквотинг удален]
> deny   ip any host 93.186.224.235
> deny   ip any host 93.186.224.236
> deny   ip any host 93.186.224.237
> deny   ip any host 93.186.224.238
> permit ip any any
>
>ACL отрабатывает нормально.
>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в
>ней данная задача, реализуется с помощью регулярных выражений)?
>Заранее спасибо!
ip urlfilter лучше, но не знаю поддерживает ли ASA

"Закрыть сайт ACL-ом"
Отправлено Figabra , 12-Дек-08 10:04

>[оверквотинг удален]
>> deny ip any host 93.186.224.237
>> deny ip any host 93.186.224.238
>> permit ip any any
>>
>>ACL отрабатывает нормально.
>>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в
>>ней данная задача, реализуется с помощью регулярных выражений)?
>>Заранее спасибо!
>
>ip urlfilter лучше, но не знаю поддерживает ли ASA
Сделал так:
ip urlfilter exclusive-domain deny vkontakte.ru
Не спасло =(
И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?

"Закрыть сайт ACL-ом"
Отправлено blank , 12-Дек-08 10:40

>[оверквотинг удален]
>>
>>ip urlfilter лучше, но не знаю поддерживает ли ASA
>
>Сделал так:
>
>ip urlfilter exclusive-domain deny vkontakte.ru
>
>Не спасло =(
>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
>
насколько я понял urlfilter привязывается к ip inspect а уже его можно на интерфейс повесить

"Закрыть сайт ACL-ом"
Отправлено Figabra , 12-Дек-08 10:45

>[оверквотинг удален]
>>Сделал так:
>>
>>ip urlfilter exclusive-domain deny vkontakte.ru
>>
>>Не спасло =(
>>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
>>
>
>насколько я понял urlfilter привязывается к ip inspect а уже его можно
>на интерфейс повесить
Вопрос снят =)
Еще раз спасибо за ответы!!!
Кому интересно, вот ссылочка, там все расписано
http://www.cisco.com/en/US/docs/ios/security/configuration/g...

"Закрыть сайт ACL-ом"
Отправлено Punks , 12-Дек-08 11:27

>[оверквотинг удален]
>>>
>>
>>насколько я понял urlfilter привязывается к ip inspect а уже его можно
>>на интерфейс повесить
>
>Вопрос снят =)
>Еще раз спасибо за ответы!!!
>
>Кому интересно, вот ссылочка, там все расписано
>http://www.cisco.com/en/US/docs/ios/security/configuration/g...
еще как вариант (испытывал буквально вчера)
class-map match-any test
match protocol http host "*vkontakte.ru"
match protocol http host "*odnoklassniki.ru"
policy-map test
class p2p
drop
int gi0/0.18
service-policy output test

"Закрыть сайт ACL-ом"
Отправлено Figabra , 12-Дек-08 11:48

>[оверквотинг удален]
>class-map match-any test
> match protocol http host "*vkontakte.ru"
> match protocol http host "*odnoklassniki.ru"
>
>policy-map test
> class p2p
> drop
>
>int gi0/0.18
>service-policy output test
Только наверное надо вешать на INPUT, а не на OUTPUT
service-policy input test
и в случае с ip urlfilter, браузер рисует красивую надпись:
HTTP Error 403 - Forbidden
You do not have permission to access the document or program you requested.
Кому как нравится =)
Еще раз спасибо.

"Закрыть сайт ACL-ом"
Отправлено Punks , 12-Дек-08 13:55

>[оверквотинг удален]
>>
>>policy-map test
>> class p2p
>> drop
>>
>>int gi0/0.18
>>service-policy output test
>
>Только наверное надо вешать на INPUT, а не на OUTPUT
>service-policy input test
на output Тоже работает.
>
>и в случае с ip urlfilter, браузер рисует красивую надпись:
>HTTP Error 403 - Forbidden
>You do not have permission to access the document or program you
>requested.
>
>Кому как нравится =)
а тут вопрос скорее всегоу кого какой иос.как я понял это фича исоа с фаерволом.
>Еще раз спасибо.

"Закрыть сайт ACL-ом"
Отправлено Figabra , 12-Дек-08 14:06

>[оверквотинг удален]
>>и в случае с ip urlfilter, браузер рисует красивую надпись:
>>HTTP Error 403 - Forbidden
>>You do not have permission to access the document or program you
>>requested.
>>
>>Кому как нравится =)
>
>а тут вопрос скорее всегоу кого какой иос.как я понял это
>фича исоа с фаерволом.
>>Еще раз спасибо.
Скорее всего.
На 1811 с IOS c181x-advipservicesk9-mz.124-6.T3.bin работает на input.
1721 например, ip urlfilter не знает.
Кстати у меня была глюкавая кошка, у которой NAT глючило со страшной силой. Начиная с того, что на Loopback и на сабинтерфейс, надо было ставить ip nat inside, иначе не работало. И заканчивая тем, что после cle ip nat tra force приходилось ее релоадить. Глюк был именно в железе.

"Закрыть сайт ACL-ом"
Отправлено frato , 04-Ноя-16 14:33

>  ....
>  match protocol http host "*odnoklassniki.ru"
> policy-map test
>  class p2p
>    drop
Когда делаю блокировку таким способом, появляются ошибки:
MyCisco(config)#class-map match-any schit
MyCisco(config-cmap)#match protocol http host "*vk.com"
MyCisco(config-cmap)#match protocol http host "*ok.ru"
MyCisco(config-cmap)#policy-map schit
MyCisco(config-pmap)#class p2p
% class map p2p not configured
MyCisco(config-pmap)#drop
                      ^
% Invalid input detected at '^' marker.
Другим способом всё получилось. Но хотелось попробовать этот, т.к. здесь фильтр можно вешать и на вход и на выход.
В другом, работающем примере можно сделать немного по другому и потом:
interface FastEthernet4
ip inspect Protect out
Но проблема в том, что на ФА4 я могу это повесить, а на ФА1 почему-то не вешается.
Как это сделать?