The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Доступ по URL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Доступ по URL"  +/
Сообщение от merko (ok) on 28-Мрт-17, 09:48 
Всем привет!

Такая проблема, нужно организовать доступ одному ПК на один URL.
Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти каждый день.


железка Cisco 2921

Подскажите как можно организовать доступ?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Доступ по URL"  +/
Сообщение от fantom (ok) on 28-Мрт-17, 12:11 
> Всем привет!
> Такая проблема, нужно организовать доступ одному ПК на один URL.
> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
> каждый день.
> железка Cisco 2921
> Подскажите как можно организовать доступ?

Соорудить прокси.
Средствами 2921 вроде как никак.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступ по URL"  +/
Сообщение от ACCA (ok) on 28-Мрт-17, 16:21 
> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
> каждый день.

Сделай CNAME в своём DNS и переставляй "почти каждый день".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Доступ по URL"  +/
Сообщение от merko (ok) on 29-Мрт-17, 03:56 
>> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
>> каждый день.
> Сделай CNAME в своём DNS и переставляй "почти каждый день".

Не понял... Что это даст? CNAME это же просто замена имени.


Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными мне ip-адресами.
Вроде работает.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступ по URL"  +/
Сообщение от Andrey (??) on 29-Мрт-17, 08:45 
>>> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
>>> каждый день.
>> Сделай CNAME в своём DNS и переставляй "почти каждый день".
> Не понял... Что это даст? CNAME это же просто замена имени.
> Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными
> мне ip-адресами.
> Вроде работает.

Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS RPZ.
Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступ по URL"  +/
Сообщение от merko (ok) on 29-Мрт-17, 10:53 
>>>> Проблема в том, что этот URL HTTPS (https://www.swift.com), и ip-адрес меняется почти
>>>> каждый день.
>>> Сделай CNAME в своём DNS и переставляй "почти каждый день".
>> Не понял... Что это даст? CNAME это же просто замена имени.
>> Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными
>> мне ip-адресами.
>> Вроде работает.
> Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS
> RPZ.
> Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949

Фильтрация на cisco возможна только по ip-адресам.
Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на DNS-сервере добавил зону с этими же ip-адресами.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Доступ по URL"  +/
Сообщение от Andrey (??) on 29-Мрт-17, 13:15 
>[оверквотинг удален]
>>> Не понял... Что это даст? CNAME это же просто замена имени.
>>> Пока сделал так. Создал DNS-зону, в которую добавил 10 A-записей с известными
>>> мне ip-адресами.
>>> Вроде работает.
>> Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS
>> RPZ.
>> Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949
> Фильтрация на cisco возможна только по ip-адресам.
> Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на
> DNS-сервере добавил зону с этими же ip-адресами.

1. Я в курсе возможностей Cisco.
2. Вы собираетесь добавлять весь список IP адресов akamai technologies?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Доступ по URL"  +/
Сообщение от merko (ok) on 30-Мрт-17, 04:25 
>[оверквотинг удален]
>>>> мне ip-адресами.
>>>> Вроде работает.
>>> Зачем отслеживать все IP для одной зоны? Проще поднять BIND c DNS
>>> RPZ.
>>> Подробнее https://dnsrpz.info/ или вот здесь: http://deadlock.org.ua/kit/habr/post/13949
>> Фильтрация на cisco возможна только по ip-адресам.
>> Поэтому на cisco в ACL добавил несколько известных нам ip-адресов, а на
>> DNS-сервере добавил зону с этими же ip-адресами.
> 1. Я в курсе возможностей Cisco.
> 2. Вы собираетесь добавлять весь список IP адресов akamai technologies?

думаю 10-15 адресов будет достаточно. Зачем все адреса добавлять?
Решение с днс-зоной не считаю правильной и красивой. Поэтому и завел тему для обсуждения.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Доступ по URL"  +/
Сообщение от ShyLion (ok) on 30-Мрт-17, 08:44 
> Подскажите как можно организовать доступ?

Прозрачный squid с ssl_bump на пути траффика. Если бюджетно.
Если небюджетно, то решения типа СКАТ, до десятков гигабит.

Если костыли делать, то запретить клиенту обращаться к левым DNS, а на своем поднять bind с RPZ, где по умолчанию все имена заруливать в 127.0.0.1, а разрешенные пропускать.
Есесно это можно обойти правкой hosts, но не для средних умов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру