forum.opennet.ru - "Закрыть сайт ACL-ом" (9)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Закрыть сайт ACL-ом"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Закрыть сайт ACL-ом"	+/–
Сообщение от Figabra (??) on 12-Дек-08, 09:35
Приветствую! Есть Cisco 2811 adventerprisek9-mz.124-13.bin, стояла задача закрыть вконтакте.ру. Нарисовал такой ACL: ip access-list extended deny-vkontakte deny ip any host 93.186.224.239 deny ip any host 93.186.225.6 deny ip any host 93.186.225.211 deny ip any host 93.186.225.212 deny ip any host 93.186.226.4 deny ip any host 93.186.226.5 deny ip any host 93.186.226.129 deny ip any host 93.186.226.130 deny ip any host 93.186.227.123 deny ip any host 93.186.227.124 deny ip any host 93.186.227.125 deny ip any host 93.186.227.126 deny ip any host 93.186.224.233 deny ip any host 93.186.224.234 deny ip any host 93.186.224.235 deny ip any host 93.186.224.236 deny ip any host 93.186.224.237 deny ip any host 93.186.224.238 permit ip any any ACL отрабатывает нормально. Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в ней данная задача, реализуется с помощью регулярных выражений)? Заранее спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

Закрыть сайт ACL-ом, usmt, 09:48 , 12-Дек-08, (1)

Закрыть сайт ACL-ом, Figabra, 10:04 , 12-Дек-08, (2)

Закрыть сайт ACL-ом, blank, 10:40 , 12-Дек-08, (3)

Закрыть сайт ACL-ом, Figabra, 10:45 , 12-Дек-08, (4)

Закрыть сайт ACL-ом, Punks, 11:27 , 12-Дек-08, (5)

Закрыть сайт ACL-ом, Figabra, 11:48 , 12-Дек-08, (6)

Закрыть сайт ACL-ом, Punks, 13:55 , 12-Дек-08, (7)

Закрыть сайт ACL-ом, Figabra, 14:06 , 12-Дек-08, (8)

Закрыть сайт ACL-ом, frato, 14:33 , 04-Ноя-16, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Закрыть сайт ACL-ом" +/–

Сообщение от usmt on 12-Дек-08, 09:48

>[оверквотинг удален]
> deny   ip any host 93.186.224.235
> deny   ip any host 93.186.224.236
> deny   ip any host 93.186.224.237
> deny   ip any host 93.186.224.238
> permit ip any any
>
>ACL отрабатывает нормально.
>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в
>ней данная задача, реализуется с помощью регулярных выражений)?
>Заранее спасибо!
ip urlfilter лучше, но не знаю поддерживает ли ASA

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть сайт ACL-ом" +/–

Сообщение от Figabra (??) on 12-Дек-08, 10:04

>[оверквотинг удален]
>> deny   ip any host 93.186.224.237
>> deny   ip any host 93.186.224.238
>> permit ip any any
>>
>>ACL отрабатывает нормально.
>>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в
>>ней данная задача, реализуется с помощью регулярных выражений)?
>>Заранее спасибо!
>
>ip urlfilter лучше, но не знаю поддерживает ли ASA
Сделал так:
ip urlfilter exclusive-domain deny vkontakte.ru
Не спасло =(
И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Закрыть сайт ACL-ом" +/–

Сообщение от blank (ok) on 12-Дек-08, 10:40

>[оверквотинг удален]
>>
>>ip urlfilter лучше, но не знаю поддерживает ли ASA
>
>Сделал так:
>
>ip urlfilter exclusive-domain deny vkontakte.ru
>
>Не спасло =(
>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
>
насколько я понял urlfilter привязывается к ip inspect а уже его можно на интерфейс повесить

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Закрыть сайт ACL-ом" +/–

Сообщение от Figabra (??) on 12-Дек-08, 10:45

>[оверквотинг удален]
>>Сделал так:
>>
>>ip urlfilter exclusive-domain deny vkontakte.ru
>>
>>Не спасло =(
>>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
>>
>
>насколько я понял urlfilter привязывается к ip inspect а уже его можно
>на интерфейс повесить
Вопрос снят =)
Еще раз спасибо за ответы!!!
Кому интересно, вот ссылочка, там все расписано
http://www.cisco.com/en/US/docs/ios/security/configuration/g...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Закрыть сайт ACL-ом" +/–

Сообщение от Punks on 12-Дек-08, 11:27

>[оверквотинг удален]
>>>
>>
>>насколько я понял urlfilter привязывается к ip inspect а уже его можно
>>на интерфейс повесить
>
>Вопрос снят =)
>Еще раз спасибо за ответы!!!
>
>Кому интересно, вот ссылочка, там все расписано
>http://www.cisco.com/en/US/docs/ios/security/configuration/g...
еще как вариант (испытывал буквально вчера)
class-map match-any test
match protocol http host "*vkontakte.ru"
match protocol http host "*odnoklassniki.ru"
policy-map test
class p2p
   drop
int gi0/0.18
service-policy output test

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Закрыть сайт ACL-ом" +/–

Сообщение от Figabra (??) on 12-Дек-08, 11:48

>[оверквотинг удален]
>class-map match-any test
> match protocol http host "*vkontakte.ru"
> match protocol http host "*odnoklassniki.ru"
>
>policy-map test
> class p2p
>   drop
>
>int gi0/0.18
>service-policy output test
Только наверное надо вешать на INPUT, а не на OUTPUT
service-policy input test
и в случае с ip urlfilter, браузер рисует красивую надпись:
HTTP Error 403 - Forbidden
You do not have permission to access the document or program you requested.
Кому как нравится =)
Еще раз спасибо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Закрыть сайт ACL-ом" +/–

Сообщение от Punks on 12-Дек-08, 13:55

>[оверквотинг удален]
>>
>>policy-map test
>> class p2p
>>   drop
>>
>>int gi0/0.18
>>service-policy output test
>
>Только наверное надо вешать на INPUT, а не на OUTPUT
>service-policy input test
на output Тоже работает.
>
>и в случае с ip urlfilter, браузер рисует красивую надпись:
>HTTP Error 403 - Forbidden
>You do not have permission to access the document or program you
>requested.
>
>Кому как нравится =)
а тут вопрос скорее всегоу  кого какой иос.как я понял это фича исоа с фаерволом.
>Еще раз спасибо.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Закрыть сайт ACL-ом" +/–

Сообщение от Figabra (??) on 12-Дек-08, 14:06

>[оверквотинг удален]
>>и в случае с ip urlfilter, браузер рисует красивую надпись:
>>HTTP Error 403 - Forbidden
>>You do not have permission to access the document or program you
>>requested.
>>
>>Кому как нравится =)
>
>а тут вопрос скорее всегоу  кого какой иос.как я понял это
>фича исоа с фаерволом.
>>Еще раз спасибо.
Скорее всего.
На 1811 с IOS c181x-advipservicesk9-mz.124-6.T3.bin работает на input.
1721 например, ip urlfilter не знает.
Кстати у меня была глюкавая кошка, у которой NAT глючило со страшной силой. Начиная с того, что на Loopback и на сабинтерфейс, надо было ставить ip nat inside, иначе не работало. И заканчивая тем, что после cle ip nat tra force приходилось ее релоадить. Глюк был именно в железе.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Закрыть сайт ACL-ом" +/–

Сообщение от frato (ok) on 04-Ноя-16, 14:33

>  ....
>  match protocol http host "*odnoklassniki.ru"
> policy-map test
>  class p2p
>    drop
Когда делаю блокировку таким способом, появляются ошибки:
MyCisco(config)#class-map match-any schit
MyCisco(config-cmap)#match protocol http host "*vk.com"
MyCisco(config-cmap)#match protocol http host "*ok.ru"
MyCisco(config-cmap)#policy-map schit
MyCisco(config-pmap)#class p2p
% class map p2p not configured
MyCisco(config-pmap)#drop
                      ^
% Invalid input detected at '^' marker.
Другим способом всё получилось. Но хотелось попробовать этот, т.к. здесь фильтр можно вешать и на вход и на выход.
В другом, работающем примере можно сделать немного по другому и потом:
interface FastEthernet4
ip inspect Protect out
Но проблема в том, что на ФА4 я могу это повесить, а на ФА1 почему-то не вешается.
Как это сделать?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Закрыть сайт ACL-ом"	+/–
Сообщение от usmt on 12-Дек-08, 09:48
>[оверквотинг удален] > deny ip any host 93.186.224.235 > deny ip any host 93.186.224.236 > deny ip any host 93.186.224.237 > deny ip any host 93.186.224.238 > permit ip any any > >ACL отрабатывает нормально. >Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в >ней данная задача, реализуется с помощью регулярных выражений)? >Заранее спасибо! ip urlfilter лучше, но не знаю поддерживает ли ASA
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Закрыть сайт ACL-ом"	+/–
	Сообщение от Figabra (??) on 12-Дек-08, 10:04
	>[оверквотинг удален] >> deny ip any host 93.186.224.237 >> deny ip any host 93.186.224.238 >> permit ip any any >> >>ACL отрабатывает нормально. >>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в >>ней данная задача, реализуется с помощью регулярных выражений)? >>Заранее спасибо! > >ip urlfilter лучше, но не знаю поддерживает ли ASA Сделал так: ip urlfilter exclusive-domain deny vkontakte.ru Не спасло =( И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Закрыть сайт ACL-ом"	+/–
	Сообщение от blank (ok) on 12-Дек-08, 10:40
	>[оверквотинг удален] >> >>ip urlfilter лучше, но не знаю поддерживает ли ASA > >Сделал так: > >ip urlfilter exclusive-domain deny vkontakte.ru > >Не спасло =( >И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс? > насколько я понял urlfilter привязывается к ip inspect а уже его можно на интерфейс повесить
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Закрыть сайт ACL-ом"	+/–
	Сообщение от Figabra (??) on 12-Дек-08, 10:45
	>[оверквотинг удален] >>Сделал так: >> >>ip urlfilter exclusive-domain deny vkontakte.ru >> >>Не спасло =( >>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс? >> > >насколько я понял urlfilter привязывается к ip inspect а уже его можно >на интерфейс повесить Вопрос снят =) Еще раз спасибо за ответы!!! Кому интересно, вот ссылочка, там все расписано http://www.cisco.com/en/US/docs/ios/security/configuration/g...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Закрыть сайт ACL-ом"	+/–
	Сообщение от Punks on 12-Дек-08, 11:27
	>[оверквотинг удален] >>> >> >>насколько я понял urlfilter привязывается к ip inspect а уже его можно >>на интерфейс повесить > >Вопрос снят =) >Еще раз спасибо за ответы!!! > >Кому интересно, вот ссылочка, там все расписано >http://www.cisco.com/en/US/docs/ios/security/configuration/g... еще как вариант (испытывал буквально вчера) class-map match-any test match protocol http host "vkontakte.ru" match protocol http host "odnoklassniki.ru" policy-map test class p2p drop int gi0/0.18 service-policy output test
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Закрыть сайт ACL-ом"	+/–
	Сообщение от Figabra (??) on 12-Дек-08, 11:48
	>[оверквотинг удален] >class-map match-any test > match protocol http host "vkontakte.ru" > match protocol http host "odnoklassniki.ru" > >policy-map test > class p2p > drop > >int gi0/0.18 >service-policy output test Только наверное надо вешать на INPUT, а не на OUTPUT service-policy input test и в случае с ip urlfilter, браузер рисует красивую надпись: HTTP Error 403 - Forbidden You do not have permission to access the document or program you requested. Кому как нравится =) Еще раз спасибо.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Закрыть сайт ACL-ом"	+/–
	Сообщение от Punks on 12-Дек-08, 13:55
	>[оверквотинг удален] >> >>policy-map test >> class p2p >> drop >> >>int gi0/0.18 >>service-policy output test > >Только наверное надо вешать на INPUT, а не на OUTPUT >service-policy input test на output Тоже работает. > >и в случае с ip urlfilter, браузер рисует красивую надпись: >HTTP Error 403 - Forbidden >You do not have permission to access the document or program you >requested. > >Кому как нравится =) а тут вопрос скорее всегоу кого какой иос.как я понял это фича исоа с фаерволом. >Еще раз спасибо.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Закрыть сайт ACL-ом"	+/–
	Сообщение от Figabra (??) on 12-Дек-08, 14:06
	>[оверквотинг удален] >>и в случае с ip urlfilter, браузер рисует красивую надпись: >>HTTP Error 403 - Forbidden >>You do not have permission to access the document or program you >>requested. >> >>Кому как нравится =) > >а тут вопрос скорее всегоу кого какой иос.как я понял это >фича исоа с фаерволом. >>Еще раз спасибо. Скорее всего. На 1811 с IOS c181x-advipservicesk9-mz.124-6.T3.bin работает на input. 1721 например, ip urlfilter не знает. Кстати у меня была глюкавая кошка, у которой NAT глючило со страшной силой. Начиная с того, что на Loopback и на сабинтерфейс, надо было ставить ip nat inside, иначе не работало. И заканчивая тем, что после cle ip nat tra force приходилось ее релоадить. Глюк был именно в железе.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Закрыть сайт ACL-ом"	+/–
	Сообщение от frato (ok) on 04-Ноя-16, 14:33
	> .... > match protocol http host "odnoklassniki.ru" > policy-map test > class p2p > drop Когда делаю блокировку таким способом, появляются ошибки: MyCisco(config)#class-map match-any schit MyCisco(config-cmap)#match protocol http host "vk.com" MyCisco(config-cmap)#match protocol http host "*ok.ru" MyCisco(config-cmap)#policy-map schit MyCisco(config-pmap)#class p2p % class map p2p not configured MyCisco(config-pmap)#drop ^ % Invalid input detected at '^' marker. Другим способом всё получилось. Но хотелось попробовать этот, т.к. здесь фильтр можно вешать и на вход и на выход. В другом, работающем примере можно сделать немного по другому и потом: interface FastEthernet4 ip inspect Protect out Но проблема в том, что на ФА4 я могу это повесить, а на ФА1 почему-то не вешается. Как это сделать?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору