The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Политики на cisco asa"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Политики на cisco asa"  +/
Сообщение от unixexp email(ok) on 05-Янв-11, 15:47 
Всем доброго времени суток!
Вопрос заключается в следующем.

Есть ASA на которая выполняет роль файрвола, на ней же
я хочу отфильтровать парочку http запросов.
http фильтрацию применяю средствами match request...
С фильтрацией проблем нету.

Основная проблема в том что из-за присутствия не симметричной
маршрутизации при хождении на некоторые хосты, вынужден использовать
TCP_BYPASS политику. Как известно на один интерфейс
можно назначить только одну политику, так вот если в одной политике
и заниматься http фильтрацией и включать tcp_bypass,
то http фильтрация напрочь отказывается работать.

Вот часть конфига отвечающая за фильтрацию и байпас:
------------------------------------------------------
class-map CLASS-MATCH-ANY
match any
class-map block-user-class
match access-list user-acl
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-any block-url-class
match request uri regex blockex1
class-map tcp_bypass
match access-list tcp_bypass
!
!
policy-map type inspect http block-url-policy
parameters
class block-url-class
  drop-connection
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp error
  inspect icmp
class CLASS-MATCH-ANY
  set connection decrement-ttl
class tcp_bypass
  set connection advanced-options tcp-state-bypass
policy-map tcp_bypass_policy
class block-user-class
  inspect http block-url-policy
class tcp_bypass
  set connection advanced-options tcp-state-bypass
!
service-policy tcp_bypass_policy interface net32

Заранее спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Политики на cisco asa"  +/
Сообщение от unixexp email(ok) on 06-Янв-11, 16:32 
>[оверквотинг удален]
>  class tcp_bypass
>   set connection advanced-options tcp-state-bypass
> policy-map tcp_bypass_policy
>  class block-user-class
>   inspect http block-url-policy
>  class tcp_bypass
>   set connection advanced-options tcp-state-bypass
> !
> service-policy tcp_bypass_policy interface net32
> Заранее спасибо!

Всем спасибо за внимание!
Проблема решена!

TCP_BYPASS перекрывает, как выяснилось inspect http. По этому если используется
TCP_BYPASS то для отдельных хостов, там где надо сделать http-фильтрацию необходимо
организовать отдельный NAT, так чтобы не возникало не симметричной маршрутизации!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру