https://opennet.ru/openforum/vsluhforumID6/730.html Добрый день. Создал правила блокировки некоторых сайтов по url:<br>ip inspect name 1111111 http urlfilter alert on<br>ip urlfilter allow-mode on<br>ip urlfilter cache 0<br>ip urlfilter exclusive-domain deny имясайта.com<br>ip urlfilter audit-trail<br><br>на внешний интерфейс<br>ip inspect 1111111 out<br><br>Блокировка работает. Настроил перед праздниками. А сеичас думаю, не получиться так, что на каком нибудь нужном сайте будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?<br> https://opennet.ru/openforum/vsluhforumID6/730.html#6 Mon, 26 Aug 2013 12:44:04 GMT https://github.com/jeroennijhof/openufp<br><br>n2h2<br> https://opennet.ru/openforum/vsluhforumID6/730.html#5 Sun, 25 Aug 2013 17:34:09 GMT Еще один вариант - это service-policy на интерфейс.<br><br>в class-map можно вписать что-то типа:<br> match protocol http host *.google.<br> https://opennet.ru/openforum/vsluhforumID6/730.html#4 Sun, 25 Aug 2013 17:15:39 GMT Добрый день.<br><br>Я бы предложил делать блокировку с помощью ZBFW - http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00808bc994.shtml<br><br>Вот пример (regexp нужно тюнить на разбор URL):<br><br>parameter-map type regex GOOGLE<br> pattern .*google.com<br> pattern .*google.ru<br><br>class-map type inspect match-all HTTP_ALL<br> match protocol http<br>class-map type inspect http match-all HTTP_BLOCK<br> match request uri regex GOOGLE<br><br>policy-map type inspect http R1_R3_HTTP<br> class type inspect http HTTP_BLOCK<br> log<br> reset<br>policy-map type inspect R1_R3<br> class type inspect HTTP_ALL<br> inspect<br> service-policy http R1_R3_HTTP<br> class class-default<br> pass<br><br>zone security R1<br>zone security R3<br>zone-pair security R1_R3 source R1 destination R3<br> service-policy type inspect R1_R3<br> https://opennet.ru/openforum/vsluhforumID6/730.html#3 Sun, 25 Aug 2013 14:41:47 GMT &gt;&gt;&gt; А сеичас думаю, не получиться так, что на каком нибудь нужном сайте <br>&gt;&gt;&gt; будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?<br>&gt;&gt; Забань google.com и проверь, делов-то.<br>&gt; Все работает. А при такой блокировки возможно создать правила исключения. Например что <br>&gt; бы один локальный ip мог заходить на сайт прописанный в правиле <br>&gt; блокировки url?<br><br>Ваш подход будет легко обходиться, при фрагментации в ТСП протоколе, которая может возникнуть на середине URL или http заголовка. Фрагментация - в одном пакете пришла часть урл, а в другом придет другая часть - что вообще является ОЧЕНЬ частной и нормальной ситуацией. Для блокировки УРЛ стоит использовать иной подход, специализированным софтом. <br><br>Рекомендую КРОЗ (блокировка URL) компании норси транс. Принцип такой, с помощью BGP захватывается часть трафика (как правило менее 1%) и перенаправляется на анализ и фильтрацию. После фильтрации трафик доставляетс так, что пользователи не видят ни какой разницы. Данный подход позволяет сделат https://opennet.ru/openforum/vsluhforumID6/730.html#2 Mon, 13 May 2013 06:42:03 GMT &gt;&gt; А сеичас думаю, не получиться так, что на каком нибудь нужном сайте <br>&gt;&gt; будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?<br>&gt; Забань google.com и проверь, делов-то.<br><br>Все работает. А при такой блокировки возможно создать правила исключения. Например что бы один локальный ip мог заходить на сайт прописанный в правиле блокировки url? <br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/730.html#1 Sat, 04 May 2013 22:52:52 GMT &gt; А сеичас думаю, не получиться так, что на каком нибудь нужном сайте <br>&gt; будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?<br><br>Забань google.com и проверь, делов-то.<br> <br>