Есть железяка, с белыми IP
нужно следующее , если в аксес листе нету IP то весь трафик перенаправлялся на указаный мною хост. в частности например WWW трафик.
т.е. например:
Extended IP access list vlan20_in
192.168.0.5
192.168.0.6
192.168.0.7
для них всё проходит трафик нормально.
но для остальных адресов не состоящих в этом аксес листе весть трафик редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о www трафике)
остальной трафик дропается.
>[оверквотинг удален]
> т.е. например:
> Extended IP access list vlan20_in
> 192.168.0.5
> 192.168.0.6
> 192.168.0.7
> для них всё проходит трафик нормально.
> но для остальных адресов не состоящих в этом аксес листе весть трафик
> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
> www трафике)
> остальной трафик дропается.Policy Based Routing?
>[оверквотинг удален]
>> Extended IP access list vlan20_in
>> 192.168.0.5
>> 192.168.0.6
>> 192.168.0.7
>> для них всё проходит трафик нормально.
>> но для остальных адресов не состоящих в этом аксес листе весть трафик
>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
>> www трафике)
>> остальной трафик дропается.
> Policy Based Routing?чем это мне поможет ?
мне нужно чтобы у людей которых нет в аксес листе при попытке открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у тех кто есть в аксес листе полный доступ в интернет.
>[оверквотинг удален]
>>> для них всё проходит трафик нормально.
>>> но для остальных адресов не состоящих в этом аксес листе весть трафик
>>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
>>> www трафике)
>>> остальной трафик дропается.
>> Policy Based Routing?
> чем это мне поможет ?
> мне нужно чтобы у людей которых нет в аксес листе при попытке
> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
> тех кто есть в аксес листе полный доступ в интернет.И при этом трафик кроме www должен маршрутизироваться, как положено? Тоесть те остальные кому не повезло, должны ходить куда нужно, только трафик на www нужно редиректить?
>[оверквотинг удален]
>>>> www трафике)
>>>> остальной трафик дропается.
>>> Policy Based Routing?
>> чем это мне поможет ?
>> мне нужно чтобы у людей которых нет в аксес листе при попытке
>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
>> тех кто есть в аксес листе полный доступ в интернет.
> И при этом трафик кроме www должен маршрутизироваться, как положено? Тоесть те
> остальные кому не повезло, должны ходить куда нужно, только трафик на
> www нужно редиректить?вот есть лист
ip access-list extended vlan40_in
permit ip host 192.168.0.2 any
permit ip host 192.168.0.5 any
permit ip host 192.168.0.10 any
permit ip host 192.168.0.12 anyу них нормальный выход в инет. ничего не ограничивается.
но если например машина с IP 192.168.0.100 захочет что то открыть в браузере в инете у себя, у него тупо будет открываться только внутренний портал который находится на ip 192.168.1.2 , какой бы запрос он не отправил.
>[оверквотинг удален]
>>> для них всё проходит трафик нормально.
>>> но для остальных адресов не состоящих в этом аксес листе весть трафик
>>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
>>> www трафике)
>>> остальной трафик дропается.
>> Policy Based Routing?
> чем это мне поможет ?
> мне нужно чтобы у людей которых нет в аксес листе при попытке
> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
> тех кто есть в аксес листе полный доступ в интернет.Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него тех, кого нет в первом, там сделайте матч по порту 80, 443 и route-map на нужный айпи после этого. Или нужно не применено так, как сейчас, с одним ACL?
>[оверквотинг удален]
>>>> остальной трафик дропается.
>>> Policy Based Routing?
>> чем это мне поможет ?
>> мне нужно чтобы у людей которых нет в аксес листе при попытке
>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
>> тех кто есть в аксес листе полный доступ в интернет.
> Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него
> тех, кого нет в первом, там сделайте матч по порту 80,
> 443 и route-map на нужный айпи после этого. Или нужно не
> применено так, как сейчас, с одним ACL?Этим можно зароутить куда либо, но не поменять дестинейшен айпи. Там должен стоять прозрачный прокси и уже он должен что-либо отвечать.
>[оверквотинг удален]
>>> чем это мне поможет ?
>>> мне нужно чтобы у людей которых нет в аксес листе при попытке
>>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
>>> тех кто есть в аксес листе полный доступ в интернет.
>> Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него
>> тех, кого нет в первом, там сделайте матч по порту 80,
>> 443 и route-map на нужный айпи после этого. Или нужно не
>> применено так, как сейчас, с одним ACL?
> Этим можно зароутить куда либо, но не поменять дестинейшен айпи. Там должен
> стоять прозрачный прокси и уже он должен что-либо отвечать.Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси, где и произведёт с ним манипуляции.
> Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси,
> где и произведёт с ним манипуляции.Да, но это добавляет отдельный компонент.
>> Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси,
>> где и произведёт с ним манипуляции.
> Да, но это добавляет отдельный компонент.Так он у него уже есть, на 192.168.1.1, там и подымет, что ему нужно.
Это задача контент-фильтра. Без сторонней железки не обойтись.
> Это задача контент-фильтра. Без сторонней железки не обойтись.Еще вариант:
http://wiki.nil.com/Local_Content_Filtering_in_Cisco_IOS
Как там с редиректом на нужную страницу - не уверен, копай в этом направлении.
>> Это задача контент-фильтра. Без сторонней железки не обойтись.
> Еще вариант:
> http://wiki.nil.com/Local_Content_Filtering_in_Cisco_IOS
> Как там с редиректом на нужную страницу - не уверен, копай в
> этом направлении.Собсно сам копнул в этом направлении, ради интереса.
Делается классический Zone Based Firewall.
Далее для http траффика отдельный класс-мап, который кроме протокола может дополнительно матчить любой аксес лист.
В параметер-мапе можно задать любой адрес для редиректа:
parameter-map type urlfpolicy local LOCAL_POL
block-page redirect-url http://www.yandex.ru
!
parameter-map type urlf-glob bad_domains
pattern google.com
pattern *.google.com
pattern google.ru
pattern *.google.ru
parameter-map type urlf-glob ANY
pattern *
!
class-map type urlfilter match-any zc_url_ANY
match server-domain urlf-glob ANY
class-map type urlfilter match-any zc_url_BAD
match server-domain urlf-glob bad_domains
!
!
!
policy-map type inspect urlfilter zpol_url_BAD
parameter type urlfpolicy local LOCAL_POL
class type urlfilter zc_url_BAD
reset
log
class type urlfilter zc_url_ANY
allow
!
!
policy-map type inspect zpol_LAN2INET
class type inspect zc_http
inspect
service-policy urlfilter zpol_url_BAD
>[оверквотинг удален]
> reset
> log
> class type urlfilter zc_url_ANY
> allow
> !
> !
> policy-map type inspect zpol_LAN2INET
> class type inspect zc_http
> inspect
> service-policy urlfilter zpol_url_BADА как оно на производительности скажется? Не проверяли? Они CPU будут дёргать или на ASIC отработают?
>[оверквотинг удален]
>> class type urlfilter zc_url_ANY
>> allow
>> !
>> !
>> policy-map type inspect zpol_LAN2INET
>> class type inspect zc_http
>> inspect
>> service-policy urlfilter zpol_url_BAD
> А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать
> или на ASIC отработают?Не проверял. У нас проблема с инет подключением - много out of order пакетов, от DPI пришлось отказаться, иначе сбрасываются подключения.
>[оверквотинг удален]
>>> !
>>> !
>>> policy-map type inspect zpol_LAN2INET
>>> class type inspect zc_http
>>> inspect
>>> service-policy urlfilter zpol_url_BAD
>> А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать
>> или на ASIC отработают?
> Не проверял. У нас проблема с инет подключением - много out of
> order пакетов, от DPI пришлось отказаться, иначе сбрасываются подключения.Понятно, спасибо.
>[оверквотинг удален]
> reset
> log
> class type urlfilter zc_url_ANY
> allow
> !
> !
> policy-map type inspect zpol_LAN2INET
> class type inspect zc_http
> inspect
> service-policy urlfilter zpol_url_BADтут конкретный список, мне нужно что по дефолту шло на конкретный адрес, без указания конкретных адресов которые запрещены
> тут конкретный список, мне нужно что по дефолту шло на конкретный адрес,
> без указания конкретных адресов которые запрещеныГолова на плечах для чего? Тебе рыбку не только поймать, но еще и зажарить и разжевать?