URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 730
[ Назад ]

Исходное сообщение
"Блокировка URL"
Отправлено motok , 04-Май-13 22:08

Добрый день. Создал правила блокировки некоторых сайтов по url:
ip inspect name 1111111 http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny имясайта.com
ip urlfilter audit-trail
на внешний интерфейс
ip inspect 1111111 out
Блокировка работает. Настроил перед праздниками. А сеичас думаю, не получиться так, что на каком нибудь нужном сайте будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?

Содержание

Блокировка URL,pavlinux, 02:52 , 05-Май-13
- Блокировка URL,motok, 10:42 , 13-Май-13
  - Блокировка URL,serega, 18:41 , 25-Авг-13
Блокировка URL (ZBFW),QRSa, 21:15 , 25-Авг-13
- Блокировка URL (Policy-map),QRSa, 21:34 , 25-Авг-13
Блокировка URL,IZh, 16:44 , 26-Авг-13

Сообщения в этом обсуждении

"Блокировка URL"
Отправлено pavlinux , 05-Май-13 02:52

> А сеичас думаю, не получиться так, что на каком нибудь нужном сайте
> будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?
Забань google.com и проверь, делов-то.

"Блокировка URL"
Отправлено motok , 13-Май-13 10:42

>> А сеичас думаю, не получиться так, что на каком нибудь нужном сайте
>> будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?
> Забань google.com и проверь, делов-то.
Все работает. А при такой блокировки возможно создать правила исключения. Например что бы один локальный ip мог заходить на сайт прописанный в правиле блокировки url?

"Блокировка URL"
Отправлено serega , 25-Авг-13 18:41

>>> А сеичас думаю, не получиться так, что на каком нибудь нужном сайте
>>> будет висеть баннер "имясайта.com" и произойдет блокирока этого нужного сайта?
>> Забань google.com и проверь, делов-то.
> Все работает. А при такой блокировки возможно создать правила исключения. Например что
> бы один локальный ip мог заходить на сайт прописанный в правиле
> блокировки url?
Ваш подход будет легко обходиться, при фрагментации в ТСП протоколе, которая может возникнуть на середине URL или http заголовка. Фрагментация - в одном пакете пришла часть урл, а в другом придет другая часть - что вообще является ОЧЕНЬ частной и нормальной ситуацией. Для блокировки УРЛ стоит использовать иной подход, специализированным софтом.
Рекомендую КРОЗ (блокировка URL) компании норси транс. Принцип такой, с помощью BGP захватывается часть трафика (как правило менее 1%) и перенаправляется на анализ и фильтрацию. После фильтрации трафик доставляетс так, что пользователи не видят ни какой разницы. Данный подход позволяет сделать дешевое решение, а при соответствующем уровне администраторов в вашей сети, можно использовать одно решение для блокировки трафика со всей сети оператора, со всех каналов.

"Блокировка URL (ZBFW)"
Отправлено QRSa , 25-Авг-13 21:15

Добрый день.
Я бы предложил делать блокировку с помощью ZBFW - http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
Вот пример (regexp нужно тюнить на разбор URL):
parameter-map type regex GOOGLE
pattern .*google.com
pattern .*google.ru
class-map type inspect match-all HTTP_ALL
match protocol http
class-map type inspect http match-all HTTP_BLOCK
match  request uri regex GOOGLE
policy-map type inspect http R1_R3_HTTP
class type inspect http HTTP_BLOCK
  log
  reset
policy-map type inspect R1_R3
class type inspect HTTP_ALL
  inspect
  service-policy http R1_R3_HTTP
class class-default
  pass
zone security R1
zone security R3
zone-pair security R1_R3 source R1 destination R3
service-policy type inspect R1_R3

"Блокировка URL (Policy-map)"
Отправлено QRSa , 25-Авг-13 21:34

Еще один вариант - это service-policy на интерфейс.
в class-map можно вписать что-то типа:
match protocol http host *.google.

"Блокировка URL"
Отправлено IZh , 26-Авг-13 16:44

https://github.com/jeroennijhof/openufp
n2h2