URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18207
[ Назад ]

Исходное сообщение
"Заблокировать трафик по доменному имени"
Отправлено sergey_taurus , 10-Фев-09 07:48

Здравствуйте, коллеги.
    Есть задача: заблокировать http трафик по доменному имени.
    Разумеется, сделать nslookup и вбить получившийся IP в ACL не сильно подходит, т.к. IP адрес в DNS может поменяться и результата не будет.
    (config)#access-list 199 deny ip any host ?
    Hostname or A.B.C.D  Destination address
    Как работает такой ACL? Тоже на первый момент резолвит имя в адрес, а потом при изменении адреса так же получается нулевой результат, или нет?
    Пока что приходит на ум только поднять фейковую зону на локальном DNS сервере, но это не поможет от умников которые будут ходить по IP или использовать чужие DNS сервера.
    Как решить такую задачу? NBAR с анализом URL'ов в HTTP заголовках?
    У кого был опыт?
    Заранее спасибо за ответы.

Содержание

Заблокировать трафик по доменному имени,Punks, 10:11 , 10-Фев-09

Сообщения в этом обсуждении

"Заблокировать трафик по доменному имени"
Отправлено Punks , 10-Фев-09 10:11

как-то тут проскакивало решение с помощью ip inspect , но это как я понял должен быть ios с поддержкой фаервола.
Насчет NBAR
class-map match-any vkontakte
match protocol http host "*vkontakte.ru"
policy-map test
class vkontakte
drop
class class-default
fair-queue
int gi0/1
service-policy input test

но от проксей и анонимайзеров наверное не спасет.