The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Доступ по URL, !*! merko, 28-Мрт-17, 09:48  [смотреть все]
Всем привет!

Такая проблема, нужно организовать доступ одному ПК на один URL.
Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти каждый день.


железка Cisco 2921

Подскажите как можно организовать доступ?

Ответить | Сообщить модератору
  • Доступ по URL, !*! fantom, 12:11 , 28-Мрт-17 (1)
    > Всем привет!
    > Такая проблема, нужно организовать доступ одному ПК на один URL.
    > Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
    > каждый день.
    > железка Cisco 2921
    > Подскажите как можно организовать доступ?

    Соорудить прокси.
    Средствами 2921 вроде как никак.

    Ответить | Сообщить модератору
  • Доступ по URL, !*! ACCA, 16:21 , 28-Мрт-17 (2)
    > Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
    > каждый день.

    Сделай CNAME в своём DNS и переставляй "почти каждый день".

    Ответить | Сообщить модератору
    • Доступ по URL, !*! merko, 03:56 , 29-Мрт-17 (3)
      >> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
      >> каждый день.
      > Сделай CNAME в своём DNS и переставляй "почти каждый день".

      Не понял... Что это даст? CNAME это же просто замена имени.


      Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными мне ip-адресами.
      Вроде работает.

      Ответить | Сообщить модератору
      • Доступ по URL, !*! Andrey, 08:45 , 29-Мрт-17 (4)
        >>> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
        >>> каждый день.
        >> Сделай CNAME в своём DNS и переставляй "почти каждый день".
        > Не понял... Что это даст? CNAME это же просто замена имени.
        > Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными
        > мне ip-адресами.
        > Вроде работает.

        Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS RPZ.
        Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949

        Ответить | Сообщить модератору
        • Доступ по URL, !*! merko, 10:53 , 29-Мрт-17 (5)
          >>>> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
          >>>> каждый день.
          >>> Сделай CNAME в своём DNS и переставляй "почти каждый день".
          >> Не понял... Что это даст? CNAME это же просто замена имени.
          >> Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными
          >> мне ip-адресами.
          >> Вроде работает.
          > Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS
          > RPZ.
          > Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949

          Фильтрация на cisco возможна только по ip-адресам.
          Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на DNS-сервере добавил зону с этими же ip-адресами.

          Ответить | Сообщить модератору
          • Доступ по URL, !*! Andrey, 13:15 , 29-Мрт-17 (6)
            >[оверквотинг удален]
            >>> Не понял... Что это даст? CNAME это же просто замена имени.
            >>> Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными
            >>> мне ip-адресами.
            >>> Вроде работает.
            >> Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS
            >> RPZ.
            >> Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949
            > Фильтрация на cisco возможна только по ip-адресам.
            > Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на
            > DNS-сервере добавил зону с этими же ip-адресами.

            1. Я в курсе возможностей Cisco.
            2. Вы собираетесь добавлять весь список IP адресов akamai technologies?

            Ответить | Сообщить модератору
            • Доступ по URL, !*! merko, 04:25 , 30-Мрт-17 (7)
              >[оверквотинг удален]
              >>>> мне ip-адресами.
              >>>> Вроде работает.
              >>> Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS
              >>> RPZ.
              >>> Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949
              >> Фильтрация на cisco возможна только по ip-адресам.
              >> Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на
              >> DNS-сервере добавил зону с этими же ip-адресами.
              > 1. Я в курсе возможностей Cisco.
              > 2. Вы собираетесь добавлять весь список IP адресов akamai technologies?

              думаю 10-15 адресов будет достаточно. Зачем все адреса добавлять?
              Решение с днс-зоной не считаю правильной и красивой. Поэтому и завел тему для обсуждения.

              Ответить | Сообщить модератору
  • Доступ по URL, !*! ShyLion, 08:44 , 30-Мрт-17 (8)
    > Подскажите как можно организовать доступ?

    Прозрачный squid с ssl_bump на пути траффика. Если бюджетно.
    Если небюджетно, то решения типа СКАТ, до десятков гигабит.

    Если костыли делать, то запретить клиенту обращаться к левым DNS, а на своем поднять bind с RPZ, где по умолчанию все имена заруливать в 127.0.0.1, а разрешенные пропускать.
    Есесно это можно обойти правкой hosts, но не для средних умов.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру