URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19855
[ Назад ]

Исходное сообщение
"Надо закрыть соц.сети. Однокслассники и Вконтакте"
Отправлено nub , 21-Окт-09 20:08

Доброго времени суток. Есть (C870-ADVIPSERVICESK9-M), Version 12.4(15)T2.
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
interface Dialer0
ip address negotiated
ip access-group 101 in
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
Extended IP access list 100
    10 permit tcp any 192.168.200.0 0.0.0.255 eq 1531
    20 permit udp any any eq bootps log
    30 permit icmp any any echo (252 matches)
    40 permit icmp any any echo-reply
    50 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 (5529 matches)
    60 permit tcp any eq ftp any eq ftp
    70 permit tcp 192.168.1.0 0.0.0.255 any eq www (3963 matches)
    80 permit tcp 192.168.1.0 0.0.0.255 any eq ftp
    90 permit tcp 192.168.1.0 0.0.0.255 any eq 5190 (70 matches)
    100 permit udp 192.168.1.0 0.0.0.255 any eq domain (1962 matches)
    110 permit tcp 192.168.1.0 0.0.0.255 host * eq pop3 (289 matches)
    120 permit tcp 192.168.1.0 0.0.0.255 host * eq smtp
    130 deny ip any any (21150 matches)
Помогите пожалуйста закрыть соц. сети (Однакласник, вконтакте, ютуб). Я сам нуб в конфигурировании, использовал шаблоны для настройки, просто у соц. сетей очень много айпишников.

Содержание

Как то так....,j_vw, 22:32 , 21-Окт-09
- Как то так....,shadow_alone, 01:41 , 22-Окт-09
  - Как то так....,nub, 09:27 , 22-Окт-09
    - Как то так....,shadow_alone, 13:24 , 22-Окт-09
      - Как то так....,nub, 14:58 , 22-Окт-09
        
        Как то так....,Алексей, 23:15 , 21-Окт-11
        
        Как то так....,Marat, 17:04 , 16-Ноя-11
  - Как то так....,frato, 14:30 , 07-Ноя-16
    - Как то так....,frato, 17:35 , 09-Ноя-16

Сообщения в этом обсуждении

"Как то так...."
Отправлено j_vw , 21-Окт-09 22:32

class-map match-any CHEGO_DROPAEM
match protocol http host "*tube.*"
policy-map DROP
class CHEGO_DROPAEM
drop
interface Dialer0
service-policy output DROP

А дальше вписываем в class-map нужные маски...

"Как то так...."
Отправлено shadow_alone , 22-Окт-09 01:41

ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .gmail.com
ip urlfilter exclusive-domain deny .cisco.com
ip urlfilter audit-trail
на интерфейс
ip inspect Protect out

"Как то так...."
Отправлено nub , 22-Окт-09 09:27

>ip inspect name Protect http urlfilter alert on
>ip urlfilter allow-mode on
>ip urlfilter cache 0
>ip urlfilter exclusive-domain deny .gmail.com
>ip urlfilter exclusive-domain deny .cisco.com
>ip urlfilter audit-trail
>
>на интерфейс
>
>ip inspect Protect out
сделал, не помогает, выпускает все равно..
вот раннинг конфиг
ip inspect name Protect http urlfilter alert on
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .odnoklasniki.ru
ip urlfilter exclusive-domain deny .mail.ru
ip urlfilter exclusive-domain deny .odnoklassniki.ru
ip urlfilter audit-trail
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
ip accounting output-packets
ip nat inside
ip inspect Protect out
ip virtual-reassembly
ip tcp adjust-mss 1452

Может что-то не так сделал?

"Как то так...."
Отправлено shadow_alone , 22-Окт-09 13:24

конечно не так, на исходящий интерфейс, разве трудно это понять, если out

"Как то так...."
Отправлено nub , 22-Окт-09 14:58

>конечно не так, на исходящий интерфейс, разве трудно это понять, если out
>
Спасибо. Проблема решена

"Как то так...."
Отправлено Алексей , 21-Окт-11 23:15

>>конечно не так, на исходящий интерфейс, разве трудно это понять, если out
>>
> Спасибо. Проблема решена
Вообще-то, можно и на входящий. только In надо сделать.
Инспекция работает как на вход так и на выход, только не вместе и логику с построением входящих, исходящих ACL надо соблюдать.

"Как то так...."
Отправлено Marat , 16-Ноя-11 17:04

Ребята, помогите.
Надо тоже закрыть весь этот хлам на Cisco 881.
На ней нет такого как "ip inspect name ... http urlfilter"
после http не могу написать urlfilter...

"Как то так...."
Отправлено frato , 07-Ноя-16 14:30

> ip inspect name Protect http urlfilter alert on
> ip urlfilter allow-mode on
> ip urlfilter cache 0
> ip urlfilter exclusive-domain deny .gmail.com
> ip urlfilter exclusive-domain deny .cisco.com
> ip urlfilter audit-trail
> на интерфейс
> ip inspect Protect out
А как это повесить только на некоторые внутренние каналы LAN ?
Например на FE0-FE2 повесить, а на FE3 не вешать?
У меня не получается?
Чтобы вешать, заходил в int fa0.

"Как то так...."
Отправлено frato , 09-Ноя-16 17:35

> А как это повесить только на некоторые внутренние каналы LAN ?
Вопрос отпал. Разобрался.