форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Заблокировать трафик по доменному имени"

Сообщение от sergey_taurus (ok) on 10-Фев-09, 07:48

Здравствуйте, коллеги.     Есть задача: заблокировать http трафик по доменному имени.     Разумеется, сделать nslookup и вбить получившийся IP в ACL не сильно подходит, т.к. IP адрес в DNS может поменяться и результата не будет.     (config)#access-list 199 deny ip any host ?     Hostname or A.B.C.D  Destination address     Как работает такой ACL? Тоже на первый момент резолвит имя в адрес, а потом при изменении адреса так же получается нулевой результат, или нет?     Пока что приходит на ум только поднять фейковую зону на локальном DNS сервере, но это не поможет от умников которые будут ходить по IP или использовать чужие DNS сервера.     Как решить такую задачу? NBAR с анализом URL'ов в HTTP заголовках?     У кого был опыт?     Заранее спасибо за ответы.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Заблокировать трафик по доменному имени"

Сообщение от Punks on 10-Фев-09, 10:11

как-то тут проскакивало решение с помощью ip inspect , но это как я понял должен быть ios с поддержкой фаервола. Насчет NBAR class-map match-any vkontakte match protocol http host "*vkontakte.ru" policy-map test class vkontakte    drop class class-default   fair-queue int gi0/1 service-policy input test но от проксей и анонимайзеров наверное не спасет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]