URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18575
[ Назад ]

Исходное сообщение
"Ограничение по доменному имени"
Отправлено lumenous , 03-Апр-09 08:12

Добрый день.
Подскажите, реально ли не маршрутизаторе ограничить доступ через ACL или еще как то по доменному имени.
Дело в том, что нам приходят постановления из всяких судов о том, чтобы мы закрыли доступ к таким то сайтам (экстремистские и т.п.).
Сейчас это делаем по IP-адресу определенного сайта (который необходимо закрыть), через ACL. Но само собой, это не правильно, потому что на одном IP может быть несколько доменов.
Роутеры 7206 и 7609.

Содержание

Ограничение по доменному имени,ананимка, 09:44 , 03-Апр-09
- Ограничение по доменному имени,shadow_alone, 10:36 , 03-Апр-09
  - Ограничение по доменному имени,lumenous, 11:13 , 03-Апр-09
    - Ограничение по доменному имени,shadow_alone, 11:19 , 03-Апр-09
- Ограничение по доменному имени,lumenous, 15:11 , 03-Апр-09

Сообщения в этом обсуждении

"Ограничение по доменному имени"
Отправлено ананимка , 03-Апр-09 09:44

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...

"Ограничение по доменному имени"
Отправлено shadow_alone , 03-Апр-09 10:36

>http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...
Не катит это. Проверил у себя:
На интерфейс
ip inspect test1 in

ip urlfilter allow-mode on
ip urlfilter allow-mode on
ip urlfilter cache 5
ip urlfilter exclusive-domain deny .sol.az
ip urlfilter audit-trail

так вот, он все равно блокирует IP.

"Ограничение по доменному имени"
Отправлено lumenous , 03-Апр-09 11:13

>[оверквотинг удален]
>
>
>ip urlfilter allow-mode on
>ip urlfilter allow-mode on
>ip urlfilter cache 5
>ip urlfilter exclusive-domain deny .sol.az
>ip urlfilter audit-trail
>
>
>так вот, он все равно блокирует IP.
"ананимка", спасибо за ссылку.

Сейчас проверил у себя. С такими настройками.
ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .gmail.com
ip urlfilter exclusive-domain deny .cisco.com
ip urlfilter audit-trail

interface GigabitEthernet0/2.6
encapsulation dot1Q 6
ip address xxx 255.255.255.252
ip inspect Protect out
no snmp trap link-status

Проверяет он кажется все таки URL.
Стало работать как надо. Единственное, что выяснил - необходимо кэш выставить в ноль, чтобы при блокировке одного сайта, второй сайт с таким же IP не блокировался. Не знаю насколько это верно, но работает.
Без "ip urlfilter cache 0" эта приблуда сохраняет в кэш IP адрес сайта. В связи с чем, попасть на второй сайт (с тем же ипом, но разрешенным URL) можно до тех пор, пока кто-нибудь не зайдет на запрещенный сайт с тем же ипом. Urlfilter заносит в кэш и все.

"Ограничение по доменному имени"
Отправлено shadow_alone , 03-Апр-09 11:19

ну и я об этом.
про кеш в 0 не подумал.

"Ограничение по доменному имени"
Отправлено lumenous , 03-Апр-09 15:11

>http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...
Эх, почти обрадовался, что подходит ((
Данная фича на 7600 платформе не работает. На 7200 все ок, а на 7600 говорит, что работать не будет. И скорее всего ИОС тут не причем.
Может есть еще какие-нибудь предложения?