forum.opennet.ru - "Блокировка ресурсов" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Блокировка ресурсов"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Блокировка ресурсов"	+/–
Сообщение от Vova (??) on 25-Апр-14, 14:30
Имеется циска 2951, на ней настроен urlfilter, безоговорочно блокирующий все прописаные сайты. Появилась необходимость более глубоко блокировать контент сайтов, т.е. например сейчас блокируется vk.com, требуется заблокировать только vk.com/aaaaa, vk.com/bbbb и т.д. Подскажите как это можно реализовать при помощи urlfilter, либо другими средствами на циске. На всякий случай конфиг: ip inspect name Blck http urlfilter ip urlfilter allow-mode on ip urlfilter cache 0 ip urlfilter exclusive-domain deny .vk.com ip urlfilter audit-trail ... На внешних интерфейсах: ip inspect Blck out
Ответить \| Правка \| Cообщить модератору

Оглавление

Блокировка ресурсов, ipmanyak, 15:07 , 28-Апр-14, (1)

Блокировка ресурсов, ShyLion, 15:25 , 28-Апр-14, (3)

Блокировка ресурсов, ShyLion, 15:24 , 28-Апр-14, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Блокировка ресурсов" +/–

Сообщение от ipmanyak (ok) on 28-Апр-14, 15:07

>[оверквотинг удален]
> циске.
> На всякий случай конфиг:
> ip inspect name Blck http urlfilter
> ip urlfilter allow-mode on
> ip urlfilter cache 0
> ip urlfilter exclusive-domain deny .vk.com
> ip urlfilter audit-trail
> ...
> На внешних интерфейсах:
> ip inspect Blck out
Задача не простая. При больших списках страниц памяти на эти урлы не напасешься, потому так просто в циске это не сделать.  Провы то по-моему по страницам не могут блочить, а у них рутеры не чета цискам.
Копни в сторону подключения внешнего сервера  - content-filtering server. Возможно через него получится.
ip urlfilter server vendor ....
само собой серверок подымать придется. А оно имхо не нать. Я бы забил на это.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Блокировка ресурсов" +/–

Сообщение от ShyLion (ok) on 28-Апр-14, 15:25

> Провы то по-моему по страницам не могут блочить, а у них рутеры не чета цискам.
Смешно.
См. Cisco SCE 8000

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Блокировка ресурсов" +/–

Сообщение от ShyLion (ok) on 28-Апр-14, 15:24

> Имеется циска 2951, на ней настроен urlfilter, безоговорочно блокирующий все прописаные
> сайты.
По http запросам можно фильтровать с помощью zone based firewall.
http://www.cisco.com/c/en/us/support/docs/security/ios-firew...
Но проблема будет с HTTPS. Чтобы заглядывать внутрь HTTPS запросов нужно "подделывать" сертификат сервера, клиент должен доверить этой подделке, тогда можно обрабатывать эти запросы от имени прокси. Для этого нужно промежуточное устройство, вроде как сквид так умеет (см. WCCP). Сам не настраивал, только краем глаза видел в инете.
Еще одна проблема будет с out-of-order пакетами, у IOS быстро переполняются буферы под кеш и он скидывает сеанс.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Блокировка ресурсов"	+/–
Сообщение от ipmanyak (ok) on 28-Апр-14, 15:07
>[оверквотинг удален] > циске. > На всякий случай конфиг: > ip inspect name Blck http urlfilter > ip urlfilter allow-mode on > ip urlfilter cache 0 > ip urlfilter exclusive-domain deny .vk.com > ip urlfilter audit-trail > ... > На внешних интерфейсах: > ip inspect Blck out Задача не простая. При больших списках страниц памяти на эти урлы не напасешься, потому так просто в циске это не сделать. Провы то по-моему по страницам не могут блочить, а у них рутеры не чета цискам. Копни в сторону подключения внешнего сервера - content-filtering server. Возможно через него получится. ip urlfilter server vendor .... само собой серверок подымать придется. А оно имхо не нать. Я бы забил на это.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Блокировка ресурсов"	+/–
	Сообщение от ShyLion (ok) on 28-Апр-14, 15:25
	> Провы то по-моему по страницам не могут блочить, а у них рутеры не чета цискам. Смешно. См. Cisco SCE 8000
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Блокировка ресурсов"	+/–
Сообщение от ShyLion (ok) on 28-Апр-14, 15:24
> Имеется циска 2951, на ней настроен urlfilter, безоговорочно блокирующий все прописаные > сайты. По http запросам можно фильтровать с помощью zone based firewall. http://www.cisco.com/c/en/us/support/docs/security/ios-firew... Но проблема будет с HTTPS. Чтобы заглядывать внутрь HTTPS запросов нужно "подделывать" сертификат сервера, клиент должен доверить этой подделке, тогда можно обрабатывать эти запросы от имени прокси. Для этого нужно промежуточное устройство, вроде как сквид так умеет (см. WCCP). Сам не настраивал, только краем глаза видел в инете. Еще одна проблема будет с out-of-order пакетами, у IOS быстро переполняются буферы под кеш и он скидывает сеанс.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору