The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Надо закрыть соц.сети. Однокслассники и Вконтакте"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]
SWITCH+ROUTE+TSHOOT – курсы Cisco CCNP для администраторов больших сетей
"Надо закрыть соц.сети. Однокслассники и Вконтакте"  +/
Сообщение от nub email(ok) on 21-Окт-09, 20:08 
Доброго времени суток. Есть (C870-ADVIPSERVICESK9-M), Version 12.4(15)T2.

interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452

interface Dialer0
ip address negotiated
ip access-group 101 in
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable

Extended IP access list 100
    10 permit tcp any 192.168.200.0 0.0.0.255 eq 1531
    20 permit udp any any eq bootps log
    30 permit icmp any any echo (252 matches)
    40 permit icmp any any echo-reply
    50 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 (5529 matches)
    60 permit tcp any eq ftp any eq ftp
    70 permit tcp 192.168.1.0 0.0.0.255 any eq www (3963 matches)
    80 permit tcp 192.168.1.0 0.0.0.255 any eq ftp
    90 permit tcp 192.168.1.0 0.0.0.255 any eq 5190 (70 matches)
    100 permit udp 192.168.1.0 0.0.0.255 any eq domain (1962 matches)
    110 permit tcp 192.168.1.0 0.0.0.255 host * eq pop3 (289 matches)
    120 permit tcp 192.168.1.0 0.0.0.255 host * eq smtp
    130 deny ip any any (21150 matches)

Помогите пожалуйста закрыть соц. сети (Однакласник, вконтакте, ютуб). Я сам нуб в конфигурировании, использовал шаблоны для настройки, просто у соц. сетей очень много айпишников.


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как то так...."  +/
Сообщение от j_vw on 21-Окт-09, 22:32 
class-map match-any CHEGO_DROPAEM
match protocol http host "*tube.*"

policy-map DROP
class CHEGO_DROPAEM
   drop

interface Dialer0
service-policy output DROP


А дальше вписываем в class-map нужные маски...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как то так...."  +/
Сообщение от shadow_alone (ok) on 22-Окт-09, 01:41 
ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .gmail.com
ip urlfilter exclusive-domain deny .cisco.com
ip urlfilter audit-trail

на интерфейс

ip inspect Protect out

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как то так...."  +/
Сообщение от nub (ok) on 22-Окт-09, 09:27 
>ip inspect name Protect http urlfilter alert on
>ip urlfilter allow-mode on
>ip urlfilter cache 0
>ip urlfilter exclusive-domain deny .gmail.com
>ip urlfilter exclusive-domain deny .cisco.com
>ip urlfilter audit-trail
>
>на интерфейс
>
>ip inspect Protect out

сделал, не помогает, выпускает все равно..
вот раннинг конфиг

ip inspect name Protect http urlfilter alert on
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .odnoklasniki.ru
ip urlfilter exclusive-domain deny .mail.ru
ip urlfilter exclusive-domain deny .odnoklassniki.ru
ip urlfilter audit-trail

interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
ip accounting output-packets
ip nat inside
ip inspect Protect out
ip virtual-reassembly
ip tcp adjust-mss 1452


Может что-то не так сделал?


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как то так...."  +1 +/
Сообщение от shadow_alone (ok) on 22-Окт-09, 13:24 
конечно не так, на исходящий интерфейс, разве трудно это понять, если out
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Как то так...."  +/
Сообщение от nub email(ok) on 22-Окт-09, 14:58 
>конечно не так, на исходящий интерфейс, разве трудно это понять, если out
>

Спасибо. Проблема решена

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как то так...."  +/
Сообщение от Алексей (??) on 21-Окт-11, 23:15 
>>конечно не так, на исходящий интерфейс, разве трудно это понять, если out
>>
> Спасибо. Проблема решена

Вообще-то, можно и на входящий. только In надо сделать.
Инспекция работает как на вход так и на выход, только не вместе и логику с построением входящих, исходящих ACL надо соблюдать.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Как то так...."  +/
Сообщение от Marat (??) on 16-Ноя-11, 17:04 
Ребята, помогите.
Надо тоже закрыть весь этот хлам на Cisco 881.
На ней нет такого как "ip inspect name ... http urlfilter"
после http не могу написать urlfilter...


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Как то так...."  +/
Сообщение от frato (ok) on 07-Ноя-16, 14:30 
> ip inspect name Protect http urlfilter alert on
> ip urlfilter allow-mode on
> ip urlfilter cache 0
> ip urlfilter exclusive-domain deny .gmail.com
> ip urlfilter exclusive-domain deny .cisco.com
> ip urlfilter audit-trail
> на интерфейс
> ip inspect Protect out

А как это повесить только на некоторые внутренние каналы LAN ?
Например на FE0-FE2 повесить, а на FE3 не вешать?
У меня не получается?
Чтобы вешать, заходил в int fa0.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Как то так...."  +/
Сообщение от frato (ok) on 09-Ноя-16, 17:35 
> А как это повесить только на некоторые внутренние каналы LAN ?

Вопрос отпал. Разобрался.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру