forum.opennet.ru

Составление сообщения

Исходное сообщение

"Фильтрация http запросов на Cisco ASA 5510 "
Отправлено unixexp, 16-Дек-10 19:08

Всем доброго времени суток!
Господа, прошу помощи в решении следующей задачи.
С адреса X.X.X.X должен быть доступен ресурс http://Y.Y.Y.Y/rmd?wsdl
Вот мой конфиг:
----------------------------------------------------------------------
regex allowurl "Y\.Y\.Y\.Y/rmd\?wsdl"
access-list inside_mpc extended permit tcp host X.X.X.X any eq www
access-list inside_mpc extended permit tcp host X.X.X.X any eq 8080
access-list inside_mpc extended permit tcp host X.X.X.X any eq https
class-map type regex match-any DomainBlockList
match regex allowurl
exit
class-map type inspect http match-any BlockDomainsClass
match request uri regex class DomainBlockList
exit
class-map inspection_default
match default-inspection-traffic
exit
class-map httptraffic
match access-list inside_mpc
exit
policy-map type inspect http http_inspection_policy
parameters
protocol-violation action drop-connection
match request method connect
drop-connection log
class BlockDomainsClass
reset log
policy-map inside-policy
class httptraffic
inspect http http_inspection_policy
service-policy inside-policy interface net32
----------------------------------------------------------------------
Пробовал сделать через:
match not request header host regex allowurl
но я так понял тогда оно ищет директиву host в header'ах пакета.
Получается открыть, например, www.google.com.ua, а мне нужно именно
чтобы кроме как http://Y.Y.Y.Y/rmd?wsdl другие http://Y.Y.Y.Y/* не были доступны!
Да, и еще, можно ли как-то смотреть лог фильтрации (inspect http).
Заранее спасибо!

Исходное сообщение
"Фильтрация http запросов на Cisco ASA 5510 " Отправлено unixexp, 16-Дек-10 19:08
Всем доброго времени суток! Господа, прошу помощи в решении следующей задачи. С адреса X.X.X.X должен быть доступен ресурс http://Y.Y.Y.Y/rmd?wsdl Вот мой конфиг: ---------------------------------------------------------------------- regex allowurl "Y\.Y\.Y\.Y/rmd\?wsdl" access-list inside_mpc extended permit tcp host X.X.X.X any eq www access-list inside_mpc extended permit tcp host X.X.X.X any eq 8080 access-list inside_mpc extended permit tcp host X.X.X.X any eq https class-map type regex match-any DomainBlockList match regex allowurl exit class-map type inspect http match-any BlockDomainsClass match request uri regex class DomainBlockList exit class-map inspection_default match default-inspection-traffic exit class-map httptraffic match access-list inside_mpc exit policy-map type inspect http http_inspection_policy parameters protocol-violation action drop-connection match request method connect drop-connection log class BlockDomainsClass reset log policy-map inside-policy class httptraffic inspect http http_inspection_policy service-policy inside-policy interface net32 ---------------------------------------------------------------------- Пробовал сделать через: match not request header host regex allowurl но я так понял тогда оно ищет директиву host в header'ах пакета. Получается открыть, например, www.google.com.ua, а мне нужно именно чтобы кроме как http://Y.Y.Y.Y/rmd?wsdl другие http://Y.Y.Y.Y/* не были доступны! Да, и еще, можно ли как-то смотреть лог фильтрации (inspect http). Заранее спасибо!

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Всем доброго времени суток! > Господа, прошу помощи в решении следующей задачи. > С адреса X.X.X.X должен быть доступен ресурс http://Y.Y.Y.Y/rmd?wsdl > Вот мой конфиг: > ---------------------------------------------------------------------- > regex allowurl "Y\.Y\.Y\.Y/rmd\?wsdl" > access-list inside_mpc extended permit tcp host X.X.X.X any eq www > access-list inside_mpc extended permit tcp host X.X.X.X any eq 8080 > access-list inside_mpc extended permit tcp host X.X.X.X any eq https > class-map type regex match-any DomainBlockList > match regex allowurl > exit > class-map type inspect http match-any BlockDomainsClass > match request uri regex class DomainBlockList > exit > class-map inspection_default > match default-inspection-traffic > exit > class-map httptraffic > match access-list inside_mpc > exit > policy-map type inspect http http_inspection_policy > parameters > protocol-violation action drop-connection > match request method connect > drop-connection log > class BlockDomainsClass > reset log > policy-map inside-policy > class httptraffic > inspect http http_inspection_policy > service-policy inside-policy interface net32 > ---------------------------------------------------------------------- > Пробовал сделать через: > match not request header host regex allowurl > но я так понял тогда оно ищет директиву host в header'ах пакета. > Получается открыть, например, www.google.com.ua, а мне нужно именно > чтобы кроме как http://Y.Y.Y.Y/rmd?wsdl другие http://Y.Y.Y.Y/* не были доступны! > Да, и еще, можно ли как-то смотреть лог фильтрации (inspect http). > Заранее спасибо!
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру