Как на cisco закрыть доступ к сайту
Перейти к содержимому

Как на cisco закрыть доступ к сайту

  • автор:

Блокировка социальных сетей на Cisco

На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.

Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».

И создадим расширенный ACL например с именем BLOCKSOCIAL:

В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:

Строчка permit ip any any должна быть обязательно именно в конце.

Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.
/17 — 0.0.127.255
/18 — 0.0.63.255
/19 — 0.0.31.255
/20 — 0.0.15.255
/21 — 0.0.7.255
/22 — 0.0.3.255
/23 — 0.0.1.255
/24 — 0.0.0.255

Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.

Применим созданный ACL на порт смотрящий в сторону клиентов:

Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:

Отменить ACL интерфейсу можно так:

Удалить ACL так:

Если блокировать сайты на порту от сервера до клиентов, то в ACL правиле поменяем адреса местами:

Как на cisco закрыть доступ к сайту

Zone Based Firewall

Current configuration : 2798 bytes
!
! Last configuration change at 07:16:39 UTC Fri Aug 29 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$82td$usJJeq4Qr1MuvXR52XLnV/
!
no aaa new-model
!
!
ip name-server 8.8.8.8
no ipv6 cef
!
!
username cisco privilege 15 secret 5 $1$EmVD$IWZA8e7CtCDGFycezqFYr/
!
!
interface GigabitEthernet0/0
description — External —
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description — Internal —
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list Inet-Access interface GigabitEthernet0/0 overload
!
ip access-list extended Inet-Access
permit ip host 192.168.1.2 any
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end

class-map type inspect match-any Control
match protocol dns
match protocol icmp
class-map type inspect match-any HTTP
match protocol http
class-map type inspect match-any HTTPS
match access-group name Mail.ru
!
!
policy-map type inspect InsideToOutside
class type inspect HTTP
inspect
class type inspect HTTPS
inspect
class type inspect Control
inspect
class class-default
drop
!
zone security Inside
zone security Outside
zone-pair security Inside_to_Outside source Inside destination Outside
service-policy type inspect InsideToOutside
!
!
interface GigabitEthernet0/0
zone-member security Outside
!
interface GigabitEthernet0/1
zone-member security Inside
!
ip access-list extended Mail.ru
permit ip 192.168.1.0 0.0.0.255 host 94.100.180.199
permit ip 192.168.1.0 0.0.0.255 host 217.69.139.201
permit ip 192.168.1.0 0.0.0.255 host 217.69.139.199
permit ip 192.168.1.0 0.0.0.255 host 94.100.180.201
!

parameter-map type urlf-glob Opennet
pattern opennet.ru
pattern *.opennet.ru

parameter-map type urlf-glob Dreamcatcher
pattern dreamcatcher.ru
pattern *.dreamcatcher.ru

parameter-map type urlf-glob AnyOther
pattern *
!
class-map type urlfilter match-any MustDeny
match server-domain urlf-glob AnyOther
class-map type urlfilter match-any Dreamcatcher
match server-domain urlf-glob Opennet
match server-domain urlf-glob Dreamcatcher
!
!
policy-map type inspect urlfilter WebAccess
class type urlfilter Dreamcatcher
allow
log
class type urlfilter MustDeny
reset
log
!
policy-map type inspect InsideToOutside
class type inspect Web
inspect
service-policy urlfilter WebAccess

ASA/PIX 8.x: блокирование определенных веб-сайтов (URL), используя регулярные выражения с MPF. Пример конфигурации

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Cisco may provide local language translations of this content in some locations. Please note that translations are provided for informational purposes only and if there is any inconsistency, the English version of the content will prevail.

Как заблокировать ip на cisco

В данной статье мы расскажем вам как заблокировать к определенным вебсайтам (к их доменам) с самым обычным межсетевым экраном Cisco ASA . Данный метод работает как на старых 5500 моделях, так и на новых 5500-X. Единственное требование – наличие версии ПО старше 8.4(2) Кроме того, вам не требуется никаких фич, присущих МСЭ следующего поколения или дополнительных подписок.

Важный момент – даже если данное решение по блокировке вебсайтов выглядит довольно простым, оно не является заменой полноценному веб-прокси серверу. В случае Cisco, таким решением является Cisco WSA – Web Security Appliance, или же данный функционал можно активировать с помощью покупки подписки на URL фильтрацию для вашего МСЭ следующего поколения.

ИСПОЛЬЗУЕМЫЕ МЕТОДЫ

Всего существует несколько способов блокировки страниц в интернете:

  • Регулярные выражения с MPF (Modular Policy Framework);
  • Блокировка по сетевому адресу с помощью листов контроля доступа ( ACL );
  • Используя FQDN (Fully Qualified Domain Name) в листе контроля доступа (ACL);

Первый метод работает довольно хорошо с HTTP сайтами, но он не будет работать от слова совсем с HTTPS сайтами. Второй метод будет работать только для простых сайтов, у которых статический IP – адрес, то есть будет очень трудоемко настроить его для работы с такими сайтами как Facebook, VK, Twitter и т.д. Поэтому, в данной статье мы опишем третий метод.

ОПИСАНИЕ НАСТРОЙКИ

При использовании версии ПО выше или равной 8.4(2), появилась возможность добавлять в ACL такие объекты как FQDN (полные доменные имена). Таким образом, вы можете разрешить или запретить доступ к хостам используя их доменные имена вместо IP – адресов. То есть можно будет запретить доступ к Фейсбуку просто запретив доступ к FQDN объекту « www.facebook.com » внутри ACL.

Важное преимущество данного метода состоит в том, что это не скажется на производительности вашего МСЭ – т.к DNS лукап будет совершен до этого и все ассоциированные с этим FQDN будут храниться в памяти устройства. В зависимости от TTL на DNS лукапе, МСЭ может продолжать совершать DNS запросы для определенного доменного имени (каждые несколько часов, к примеру) и обновлять IP – адреса в памяти.

На примере сети ниже, мы хотим заблокировать доступ к www.website.com , который имеет IP-адрес 3.3.3.3. Наша ASA будет использовать внутренний DNS — сервер (или любой другой DNS – сервер) для получения адреса и запрета доступа к нему во входящем ACL на внутреннем интерфейсе.

КОМАНДЫ

Теперь настало время написать сам конфиг (точнее только его часть, которая касается блокировки страниц). Он указан ниже, с комментариями:

domain-name merionet.ru
interface GigabitEthernet0
nameif outside
security-level 0
ip address 1.2.3.0 255.255.255.0
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1

!другие команды настройки интерфейса скрыты

!Указываем, какой DNS сервер использовать для определения IP – адресов
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.2
domain-name mycompany.com

!Создаем FQDN объекты для тех сайтов, которые хотим заблокировать. Указываем как с www так и без
object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com

!Добавляем FQDN объекты во входящий ACL на внутреннем интерфейсе
access-list INSIDE-IN extended deny ip any object obj-www.website.com
access-list INSIDE-IN extended deny ip any object obj-website.com
access-list INSIDE-IN extended permit ip any any

!Применяем ACL выше для внутреннего интерфейса
access-group INSIDE-IN in interface inside

Параметры загрузки

Содержание

Введение

Фильтрация маршрутов – основа для реализации политик протокола граничного шлюза (BGP). Существует множество способов фильтрации одной или нескольких сетей с одноранговой стороны BGP, включая информацию о достижимости на сетевом уровне (NLRI) и атрибуты AS_Path и Community. В настоящем документе рассматривается только фильтрация на основе NLRI. Описание фильтрации на основе AS_Path см. в документе Использование регулярных выражений в BGP. Дополнительные сведения см. в разделе Фильтрация BGP документа Практические примеры BGP.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с базовой конфигурацией BGP. Дополнительные сведения см. в документах Практические примеры BGP и Настройка BGP.

Используемые компоненты

Сведения, содержащиеся в этом документе, относятся к выпуску ПО Cisco IOS® 12.2(28).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.

Идентификация и фильтрация маршрутов на основе NLRI

Чтобы свести к минимуму объем сведений о маршрутизации, которые маршрутизатор должен запоминать или объявлять, можно использовать фильтры на основе обновлений маршрутизации. Фильтры состоят из списка контроля доступа или списка префиксов, действующего для обновлений, адресованных соседним узлам и поступающих от соседних узлов. Эти варианты анализируются в контексте следующей схемы сети.

Схема сети

Фильтрация с ключевым словом distribute-list и стандартным списком контроля доступа

Маршрутизатор 200 объявляет эти сети связанному с ним маршрутизатору 100:

Этот пример конфигурации позволяет маршрутизатору 100 запретить обновление сети 10.10.10.0/24 и разрешить обновление сетей 192.168.10.0/24 и 10.10.0.0/19 в своей таблице BGP:

Маршрутизатор 100
Маршрутизатор 200

Выходные данные следующей команды show ip bgp подтверждают действия маршрутизатора 100:

Фильтрация с ключевым словом distribute-list и расширенным списком контроля доступа

Применение стандартного списка контроля доступа для фильтрации суперсетей сталкивается с определенными сложностями. Предположим, что маршрутизатор 200 объявляет следующие сети:

с 10.10.1.0/24 по 10.10.31.0/24;

10.10.0.0/19 (объединение вышеуказанных сетей).

Маршрутизатор 100 заинтересован только в получении сведений об объединенной сети, 10.10.0.0/19. Информация, относящаяся к отдельным сетям, должна отфильтровываться.

Стандартный список контроля доступа вида access-list 1 permit 10.10.0.0 0.0.31.255 не подойдет, поскольку он разрешает больше сетей, чем нужно. Стандартный список контроля доступа контролирует адрес сети, но не сетевую маску. Этот стандартный список контроля доступа разрешает как объединенную сеть /19, так и отдельные сети /24.

Чтобы разрешать только суперсеть 10.10.0.0/19, используйте расширенный список контроля доступа вида access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0. Формат команды access-list для расширенного списка контроля доступа описан в разделе access-list (расширенный список контроля доступа IP).

В нашем примере источник – 10.10.0.0. Для него настраивается точно соответствующий шаблон 0.0.0.0. Для точного соответствия с маской источника задаются маска 255.255.224.0 и шаблон маски 0.0.0.0. В случае неполного соответствия любому из этих значений (источнику или маске) список контроля доступа выдаст запрет.

Таким образом, расширенная команда access-list позволяет точно описать соответствие номеру сети источника 10.10.0.0 с маской 255.255.224.0 (и, как следствие, с 10.10.0.0/19). Другие, более узкие сети /24 будут фильтроваться.

Примечание. При настройке шаблонов помните, что означает полное совпадение двоичных разрядов, а 1 означает, что данный разряд безразличен.

Конфигурация маршрутизатора 100:

Маршрутизатор 100

Выходные данные команды show ip bgp с маршрутизатора 100 подтверждают, что список контроля доступа функционирует требуемым образом.

Как показано в этом разделе, расширенные списки контроля доступа более практичны в ситуациях, когда в пределах одной крупной сети нужно разрешить одни сети и запретить другие. Эти примеры в более полной мере иллюстрируют пользу расширенных списков контроля доступа в некоторых ситуациях:

access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.252.0 0.0.0.0

Этот список контроля доступа разрешает только суперсеть 192.168.0.0/22.

access-list 102 permit ip 192.168.10.0 0.0.0.255 255.255.255.0 0.0.0.255

Этот список контроля доступа разрешает все подсети 192.168.10.0/24. Иначе говоря, разрешаются подсети 192.168.10.0/24, 192.168.10.0/25, 192.168.10.128/25, и т.д.: любая из подсетей 192.168.10.x с маской в диапазоне от 24 до 32.

access-list 103 permit ip 0.0.0.0 255.255.255.255 255.255.255.0 0.0.0.255

Этот список контроля доступа разрешает любой префикс сети с маской от 24 до 32.

Фильтрация с использованием команды ip prefix-list

Маршрутизатор 200 объявляет эти сети связанному с ним маршрутизатору 100:

В примерах конфигурации, приведенных в этом разделе, применяется команда ip prefix-list, с которой маршрутизатор 100 будет выполнять сразу две функции:

разрешать обновления для любой сети с длиной маски префикса не более 19 разрядов;

запрещать обновления для всех сетей с длиной маски префикса более 19 разрядов.

Маршрутизатор 100
Маршрутизатор 200

Выходные данные команды show ip bgp с маршрутизатора 100 подтверждают, что список префиксов на нем функционирует требуемым образом.

Можно заключить, что применение списков префиксов – наиболее удобный способ фильтрации сетей в протоколе BGP. Но в некоторых случаях, например, когда нужно отфильтровать четные и нечетные сети одновременно с контролем длины маски, расширенные списки контроля доступа дают больше гибкости и управляемости по сравнению со списками префиксов.

Фильтрация маршрутов по умолчанию от других сторон BGP

Можно отфильтровать или заблокировать объявленный стороной BGP маршрут по умолчанию, например 0.0.0.0/32, используя команду prefix-list. Увидеть, что запись 0.0.0.0 доступна, можно при помощи команды show ip bgp.

Пример конфигурации, представленный в этом разделе, задан на маршрутизаторе Router 100 командой ip prefix-list.

Маршрутизатор 100

Если после задания этой конфигурации выполнить команду show ip bgp, то запись 0.0.0.0, доступная ранее в выходных данных команды show ip bgp, видна не будет.

[cisco router] Блокировка сайтов

Уважаемый all,
ищу оптимальное решение (стратегию) для блокирования сайтов на роутере, (без помощи изменения записей на NS сервере).
Скажем, сайт имеет кучу IP и поддоменов (пример odnoklassniki.ru) и access-list из его IPшек может относительно быстро устареть. Блокировать на layer 7 по url тоже не кажется оптимальным — может грузить роутер при большом трафике и надо сильно извращаться с regexp потому что могут оказаться заблокированы и url лишь содержащие часть блокиремого домена и тд.

Про прокси (squid, dansguardian и прочих) знаю и успешно применяю, речь идёт именно об *одном* устройстве — cisco роутере, например Cisco 871 (а также PIXы, ASA)

либо л7, и ты миришься с перформанс деградейшн, либо л3.

для L7 тебе тут только аса пригодится.

вобще, циска для этих целей не лучший вариант (особенно возня с ACL)

лучшее решение — linux шлюз, со сквидом и тп.

в том-то и фишка, что надо обойтись только одним устройством,никаких линукс/виндовс/фри и прочих шлюзов. с листами тоже запарка, ИПы могут меняться же.

Используйте тунели,терминируйте в центральном офисе,где и реализовуйте фильтрацию, весь трафик заворачивайте в тунель .

>речь идёт именно об *одном* устройстве — cisco роутере, например Cisco 871 (а также PIXы, ASA)

выкинь ты этот мусор, под названием младшая и средняя линейка циско и поставь писюк с линуксом и сквидом, а рядом поставь такой же, но как холодную замену(или на склад положи)

[Серийная лада Калина] плавающий вездеход на гусеничном ходу

TC используйте либо туннели в ЦО, либо поставьте старый пентиум с лялексом, который ничем не отличается от того, что стоит в старых пиксах.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *