https://opennet.ru/openforum/vsluhforumID6/17812.html Приветствую!<br>Есть Cisco 2811 adventerprisek9-mz.124-13.bin, стояла задача закрыть вконтакте.ру. Нарисовал такой ACL:<br><br>ip access-list extended deny-vkontakte<br> deny ip any host 93.186.224.239<br> deny ip any host 93.186.225.6<br> deny ip any host 93.186.225.211<br> deny ip any host 93.186.225.212<br> deny ip any host 93.186.226.4<br> deny ip any host 93.186.226.5<br> deny ip any host 93.186.226.129<br> deny ip any host 93.186.226.130<br> deny ip any host 93.186.227.123<br> deny ip any host 93.186.227.124<br> deny ip any host 93.186.227.125<br> deny ip any host 93.186.227.126<br> deny ip any host 93.186.224.233<br> deny ip any host 93.186.224.234<br> deny ip any host 93.186.224.235<br> deny ip any host 93.186.224.236<br> deny ip any host 93.186.224.237<br> deny ip any host 93.186.224.238<br> permit ip any any<br><br>ACL отрабатывает нормально.<br>Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в ней данная задача, реализуется с помощью регулярных выражений)? <br>Заранее спасибо!<br> https://opennet.ru/openforum/vsluhforumID6/17812.html#9 Fri, 04 Nov 2016 11:33:34 GMT &gt; ....<br>&gt; match protocol http host "*odnoklassniki.ru" <br>&gt; policy-map test <br>&gt; class p2p <br>&gt; drop <br><br>Когда делаю блокировку таким способом, появляются ошибки:<br>MyCisco(config)#class-map match-any schit<br>MyCisco(config-cmap)#match protocol http host "*vk.com"<br>MyCisco(config-cmap)#match protocol http host "*ok.ru"<br>MyCisco(config-cmap)#policy-map schit<br>MyCisco(config-pmap)#class p2p<br>% class map p2p not configured<br>MyCisco(config-pmap)#drop<br> ^<br>% Invalid input detected at '^' marker.<br><br>Другим способом всё получилось. Но хотелось попробовать этот, т.к. здесь фильтр можно вешать и на вход и на выход.<br>В другом, работающем примере можно сделать немного по другому и потом:<br>interface FastEthernet4<br>ip inspect Protect out<br>Но проблема в том, что на ФА4 я могу это повесить, а на ФА1 почему-то не вешается.<br>Как это сделать?<br> https://opennet.ru/openforum/vsluhforumID6/17812.html#8 Fri, 12 Dec 2008 11:06:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;и в случае с ip urlfilter, браузер рисует красивую надпись: <br>&gt;&gt;HTTP Error 403 - Forbidden <br>&gt;&gt;You do not have permission to access the document or program you <br>&gt;&gt;requested. <br>&gt;&gt;<br>&gt;&gt;Кому как нравится =) <br>&gt;<br>&gt;а тут вопрос скорее всегоу кого какой иос.как я понял это <br>&gt;фича исоа с фаерволом. <br>&gt;&gt;Еще раз спасибо. <br><br>Скорее всего. <br>На 1811 с IOS c181x-advipservicesk9-mz.124-6.T3.bin работает на input.<br>1721 например, ip urlfilter не знает.<br>Кстати у меня была глюкавая кошка, у которой NAT глючило со страшной силой. Начиная с того, что на Loopback и на сабинтерфейс, надо было ставить ip nat inside, иначе не работало. И заканчивая тем, что после cle ip nat tra force приходилось ее релоадить. Глюк был именно в железе.<br> https://opennet.ru/openforum/vsluhforumID6/17812.html#7 Fri, 12 Dec 2008 10:55:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;policy-map test <br>&gt;&gt; class p2p <br>&gt;&gt; drop <br>&gt;&gt;<br>&gt;&gt;int gi0/0.18 <br>&gt;&gt;service-policy output test <br>&gt;<br>&gt;Только наверное надо вешать на INPUT, а не на OUTPUT <br>&gt;service-policy input test <br><br>на output Тоже работает.<br><br>&gt;<br>&gt;и в случае с ip urlfilter, браузер рисует красивую надпись: <br>&gt;HTTP Error 403 - Forbidden <br>&gt;You do not have permission to access the document or program you <br>&gt;requested. <br>&gt;<br>&gt;Кому как нравится =) <br><br>а тут вопрос скорее всегоу кого какой иос.как я понял это фича исоа с фаерволом.<br>&gt;Еще раз спасибо. https://opennet.ru/openforum/vsluhforumID6/17812.html#6 Fri, 12 Dec 2008 08:48:12 GMT &gt;[оверквотинг удален]<br>&gt;class-map match-any test <br>&gt; match protocol http host "*vkontakte.ru" <br>&gt; match protocol http host "*odnoklassniki.ru" <br>&gt;<br>&gt;policy-map test <br>&gt; class p2p <br>&gt; drop <br>&gt;<br>&gt;int gi0/0.18 <br>&gt;service-policy output test <br><br>Только наверное надо вешать на INPUT, а не на OUTPUT<br>service-policy input test<br><br>и в случае с ip urlfilter, браузер рисует красивую надпись:<br>HTTP Error 403 - Forbidden<br>You do not have permission to access the document or program you requested.<br><br>Кому как нравится =)<br>Еще раз спасибо.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/17812.html#5 Fri, 12 Dec 2008 08:27:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;насколько я понял urlfilter привязывается к ip inspect а уже его можно <br>&gt;&gt;на интерфейс повесить <br>&gt;<br>&gt;Вопрос снят =) <br>&gt;Еще раз спасибо за ответы!!! <br>&gt;<br>&gt;Кому интересно, вот ссылочка, там все расписано <br>&gt;http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_fwall_websense_ps6350_TSD_Products_Configuration_Guide_Chapter.html <br><br>еще как вариант (испытывал буквально вчера)<br>class-map match-any test<br> match protocol http host "*vkontakte.ru"<br> match protocol http host "*odnoklassniki.ru"<br><br>policy-map test<br> class p2p<br> drop<br><br>int gi0/0.18<br>service-policy output test<br><br><br> https://opennet.ru/openforum/vsluhforumID6/17812.html#4 Fri, 12 Dec 2008 07:45:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Сделал так: <br>&gt;&gt;<br>&gt;&gt;ip urlfilter exclusive-domain deny vkontakte.ru <br>&gt;&gt;<br>&gt;&gt;Не спасло =( <br>&gt;&gt;И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс? <br>&gt;&gt;<br>&gt;<br>&gt;насколько я понял urlfilter привязывается к ip inspect а уже его можно <br>&gt;на интерфейс повесить <br><br>Вопрос снят =)<br>Еще раз спасибо за ответы!!!<br><br>Кому интересно, вот ссылочка, там все расписано<br>http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_fwall_websense_ps6350_TSD_Products_Configuration_Guide_Chapter.html<br> https://opennet.ru/openforum/vsluhforumID6/17812.html#3 Fri, 12 Dec 2008 07:40:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;ip urlfilter лучше, но не знаю поддерживает ли ASA <br>&gt;<br>&gt;Сделал так: <br>&gt;<br>&gt;ip urlfilter exclusive-domain deny vkontakte.ru <br>&gt;<br>&gt;Не спасло =( <br>&gt;И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс? <br>&gt;<br><br>насколько я понял urlfilter привязывается к ip inspect а уже его можно на интерфейс повесить<br><br> https://opennet.ru/openforum/vsluhforumID6/17812.html#2 Fri, 12 Dec 2008 07:04:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt; deny ip any host 93.186.224.237 <br>&gt;&gt; deny ip any host 93.186.224.238 <br>&gt;&gt; permit ip any any <br>&gt;&gt;<br>&gt;&gt;ACL отрабатывает нормально. <br>&gt;&gt;Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в <br>&gt;&gt;ней данная задача, реализуется с помощью регулярных выражений)? <br>&gt;&gt;Заранее спасибо! <br>&gt;<br>&gt;ip urlfilter лучше, но не знаю поддерживает ли ASA <br><br>Сделал так:<br><br>ip urlfilter exclusive-domain deny vkontakte.ru<br><br>Не спасло =( <br>И еще вопрос: а это ip urlfilter можно вешать на отдельный сабинтерфейс?<br> https://opennet.ru/openforum/vsluhforumID6/17812.html#1 Fri, 12 Dec 2008 06:48:39 GMT &gt;[оверквотинг удален]<br>&gt; deny ip any host 93.186.224.235 <br>&gt; deny ip any host 93.186.224.236 <br>&gt; deny ip any host 93.186.224.237 <br>&gt; deny ip any host 93.186.224.238 <br>&gt; permit ip any any <br>&gt;<br>&gt;ACL отрабатывает нормально. <br>&gt;Вопрос: есть ли более изящный способ, что-то похожее на ASA 5505 (в <br>&gt;ней данная задача, реализуется с помощью регулярных выражений)? <br>&gt;Заранее спасибо! <br><br>ip urlfilter лучше, но не знаю поддерживает ли ASA <br><br>