Всем доброго времени суток!
Вопрос заключается в следующем.Есть ASA на которая выполняет роль файрвола, на ней же
я хочу отфильтровать парочку http запросов.
http фильтрацию применяю средствами match request...
С фильтрацией проблем нету.Основная проблема в том что из-за присутствия не симметричной
маршрутизации при хождении на некоторые хосты, вынужден использовать
TCP_BYPASS политику. Как известно на один интерфейс
можно назначить только одну политику, так вот если в одной политике
и заниматься http фильтрацией и включать tcp_bypass,
то http фильтрация напрочь отказывается работать.Вот часть конфига отвечающая за фильтрацию и байпас:
------------------------------------------------------
class-map CLASS-MATCH-ANY
match any
class-map block-user-class
match access-list user-acl
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-any block-url-class
match request uri regex blockex1
class-map tcp_bypass
match access-list tcp_bypass
!
!
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp error
inspect icmp
class CLASS-MATCH-ANY
set connection decrement-ttl
class tcp_bypass
set connection advanced-options tcp-state-bypass
policy-map tcp_bypass_policy
class block-user-class
inspect http block-url-policy
class tcp_bypass
set connection advanced-options tcp-state-bypass
!
service-policy tcp_bypass_policy interface net32Заранее спасибо!
>[оверквотинг удален]
> class tcp_bypass
> set connection advanced-options tcp-state-bypass
> policy-map tcp_bypass_policy
> class block-user-class
> inspect http block-url-policy
> class tcp_bypass
> set connection advanced-options tcp-state-bypass
> !
> service-policy tcp_bypass_policy interface net32
> Заранее спасибо!Всем спасибо за внимание!
Проблема решена!TCP_BYPASS перекрывает, как выяснилось inspect http. По этому если используется
TCP_BYPASS то для отдельных хостов, там где надо сделать http-фильтрацию необходимо
организовать отдельный NAT, так чтобы не возникало не симметричной маршрутизации!