https://opennet.ru/openforum/vsluhforumID6/19855.html Доброго времени суток. Есть (C870-ADVIPSERVICESK9-M), Version 12.4(15)T2.<br><br>interface Vlan1<br> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$<br> ip address 192.168.1.1 255.255.255.0<br> ip access-group 100 in<br> ip nat inside<br> ip virtual-reassembly<br> ip tcp adjust-mss 1452<br><br>interface Dialer0<br> ip address negotiated<br> ip access-group 101 in<br> ip mtu 1452<br> ip nat outside<br> ip virtual-reassembly<br> encapsulation ppp<br> dialer pool 1<br> dialer-group 1<br> no cdp enable<br><br>Extended IP access list 100<br> 10 permit tcp any 192.168.200.0 0.0.0.255 eq 1531<br> 20 permit udp any any eq bootps log<br> 30 permit icmp any any echo (252 matches)<br> 40 permit icmp any any echo-reply<br> 50 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 (5529 matches)<br> 60 permit tcp any eq ftp any eq ftp<br> 70 permit tcp 192.168.1.0 0.0.0.255 any eq www (3963 matches)<br> 80 permit tcp 192.168.1.0 0.0.0.255 any eq ftp<br> 90 permit tcp 192.168.1.0 0.0.0.255 any eq 5190 (70 matches)<br> 100 permit udp 192.168.1.0 0.0.0.2 https://opennet.ru/openforum/vsluhforumID6/19855.html#9 Wed, 09 Nov 2016 14:35:10 GMT &gt; А как это повесить только на некоторые внутренние каналы LAN ?<br><br>Вопрос отпал. Разобрался.<br> https://opennet.ru/openforum/vsluhforumID6/19855.html#8 Mon, 07 Nov 2016 11:30:44 GMT &gt; ip inspect name Protect http urlfilter alert on <br>&gt; ip urlfilter allow-mode on <br>&gt; ip urlfilter cache 0 <br>&gt; ip urlfilter exclusive-domain deny .gmail.com <br>&gt; ip urlfilter exclusive-domain deny .cisco.com <br>&gt; ip urlfilter audit-trail <br>&gt; на интерфейс <br>&gt; ip inspect Protect out <br><br>А как это повесить только на некоторые внутренние каналы LAN ?<br>Например на FE0-FE2 повесить, а на FE3 не вешать?<br>У меня не получается?<br>Чтобы вешать, заходил в int fa0.<br> https://opennet.ru/openforum/vsluhforumID6/19855.html#7 Wed, 16 Nov 2011 13:04:42 GMT Ребята, помогите.<br>Надо тоже закрыть весь этот хлам на Cisco 881.<br>На ней нет такого как "ip inspect name ... http urlfilter"<br>после http не могу написать urlfilter... <br><br><br> https://opennet.ru/openforum/vsluhforumID6/19855.html#6 Fri, 21 Oct 2011 19:15:54 GMT &gt;&gt;конечно не так, на исходящий интерфейс, разве трудно это понять, если out <br>&gt;&gt; <br>&gt; Спасибо. Проблема решена <br><br>Вообще-то, можно и на входящий. только In надо сделать.<br>Инспекция работает как на вход так и на выход, только не вместе и логику с построением входящих, исходящих ACL надо соблюдать.<br><br> https://opennet.ru/openforum/vsluhforumID6/19855.html#5 Thu, 22 Oct 2009 10:58:21 GMT &gt;конечно не так, на исходящий интерфейс, разве трудно это понять, если out <br>&gt;<br><br>Спасибо. Проблема решена<br> https://opennet.ru/openforum/vsluhforumID6/19855.html#4 Thu, 22 Oct 2009 09:24:15 GMT конечно не так, на исходящий интерфейс, разве трудно это понять, если out<br> https://opennet.ru/openforum/vsluhforumID6/19855.html#3 Thu, 22 Oct 2009 05:27:46 GMT &gt;ip inspect name Protect http urlfilter alert on <br>&gt;ip urlfilter allow-mode on <br>&gt;ip urlfilter cache 0 <br>&gt;ip urlfilter exclusive-domain deny .gmail.com <br>&gt;ip urlfilter exclusive-domain deny .cisco.com <br>&gt;ip urlfilter audit-trail <br>&gt;<br>&gt;на интерфейс <br>&gt;<br>&gt;ip inspect Protect out <br><br>сделал, не помогает, выпускает все равно..<br>вот раннинг конфиг <br><br>ip inspect name Protect http urlfilter alert on<br>ip auth-proxy max-nodata-conns 3<br>ip admission max-nodata-conns 3<br>ip urlfilter allow-mode on<br>ip urlfilter cache 0<br>ip urlfilter exclusive-domain deny .odnoklasniki.ru<br>ip urlfilter exclusive-domain deny .mail.ru<br>ip urlfilter exclusive-domain deny .odnoklassniki.ru<br>ip urlfilter audit-trail<br><br>interface Vlan1<br> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$<br> ip address 192.168.1.1 255.255.255.0<br> ip access-group 100 in<br> ip accounting output-packets<br> ip nat inside<br> ip inspect Protect out<br> ip virtual-reassembly<br> ip tcp adjust-mss 1452<br><br><br>Может что-то не так сделал?<br><br><br> https://opennet.ru/openforum/vsluhforumID6/19855.html#2 Wed, 21 Oct 2009 21:41:36 GMT ip inspect name Protect http urlfilter alert on<br>ip urlfilter allow-mode on<br>ip urlfilter cache 0<br>ip urlfilter exclusive-domain deny .gmail.com<br>ip urlfilter exclusive-domain deny .cisco.com<br>ip urlfilter audit-trail<br><br>на интерфейс<br><br>ip inspect Protect out<br> https://opennet.ru/openforum/vsluhforumID6/19855.html#1 Wed, 21 Oct 2009 18:32:32 GMT class-map match-any CHEGO_DROPAEM<br> match protocol http host "*tube.*"<br><br>policy-map DROP<br> class CHEGO_DROPAEM<br> drop<br><br>interface Dialer0<br>service-policy output DROP<br><br><br>А дальше вписываем в class-map нужные маски...<br><br><br><br><br><br>