URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22104
[ Назад ]

Исходное сообщение
"Политики на cisco asa"

Отправлено unixexp , 05-Янв-11 15:47 
Всем доброго времени суток!
Вопрос заключается в следующем.

Есть ASA на которая выполняет роль файрвола, на ней же
я хочу отфильтровать парочку http запросов.
http фильтрацию применяю средствами match request...
С фильтрацией проблем нету.

Основная проблема в том что из-за присутствия не симметричной
маршрутизации при хождении на некоторые хосты, вынужден использовать
TCP_BYPASS политику. Как известно на один интерфейс
можно назначить только одну политику, так вот если в одной политике
и заниматься http фильтрацией и включать tcp_bypass,
то http фильтрация напрочь отказывается работать.

Вот часть конфига отвечающая за фильтрацию и байпас:
------------------------------------------------------
class-map CLASS-MATCH-ANY
match any
class-map block-user-class
match access-list user-acl
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-any block-url-class
match request uri regex blockex1
class-map tcp_bypass
match access-list tcp_bypass
!
!
policy-map type inspect http block-url-policy
parameters
class block-url-class
  drop-connection
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp error
  inspect icmp
class CLASS-MATCH-ANY
  set connection decrement-ttl
class tcp_bypass
  set connection advanced-options tcp-state-bypass
policy-map tcp_bypass_policy
class block-user-class
  inspect http block-url-policy
class tcp_bypass
  set connection advanced-options tcp-state-bypass
!
service-policy tcp_bypass_policy interface net32

Заранее спасибо!


Содержание

Сообщения в этом обсуждении
"Политики на cisco asa"
Отправлено unixexp , 06-Янв-11 16:32 
>[оверквотинг удален]
>  class tcp_bypass
>   set connection advanced-options tcp-state-bypass
> policy-map tcp_bypass_policy
>  class block-user-class
>   inspect http block-url-policy
>  class tcp_bypass
>   set connection advanced-options tcp-state-bypass
> !
> service-policy tcp_bypass_policy interface net32
> Заранее спасибо!

Всем спасибо за внимание!
Проблема решена!

TCP_BYPASS перекрывает, как выяснилось inspect http. По этому если используется
TCP_BYPASS то для отдельных хостов, там где надо сделать http-фильтрацию необходимо
организовать отдельный NAT, так чтобы не возникало не симметричной маршрутизации!