Ключевые слова:cisco, pix, firewall, multimedia, block, (найти похожие документы)
From: cognize <cognize@ya.ru.>
Newsgroups: email
Date: Mon, 26 May 2009 17:02:14 +0000 (UTC)
Subject: Настройка Cisco PIX для блокирования мультимедиа трафика
В данной статье пойдёт речь о том, как настроить Cisco PIX для блокирования
аудио и видео трафика.
Мы рассмотрим несколько простых и стандартных методов:
Прежде чем делать какие либо изменения сделайте резервную копию
конфигурации Cisco PIX
Метод первый - блокируем ip адреса или блок ip адресов (пул внешнего
мультимедиа сервера)
Это достаточно рутинная задача, но в некоторых случаях может быть эффективна.
Что нам потребуется?
1) Узнать ip адрес мультимедиа сервера (или пул адресов)
Для этого нужно воспользоваться командой nslookup. К примеру:
nslookup
Default Server: dns.ip.addr
Address: 192.168.0.4
> youtube.com
Server: dns.ip.addr
Address: 192.168.0.4
Non-authoritative answer:
Name: youtube.com
Addresses: 208.117.236.69, 208.65.153.238
2) Создать список доступа, который будет запрещать доступ на данный ip адрес(а)
access-list youtube deny ip any host 208.117.236.69
access-list youtube deny ip any host 208.65.153.238
3) Создать список доступа, разрешающий доступ на остальные хосты
access-list permit_web_hosts permit ip any any
4) Применить список доступа на интерфейс (в нашем случае это внутренний интерфейс)
access-group youtube in interface inside
access-group permit_web_hosts in interface inside
5) Сохранить конфигурацию
wr mem
6) Проверить
С ПК, находящегося в локальной подсети пробуем подключиться к http://www.youtube.comМетод второй - блокируем порты мультимедиа сервисов
Данным методом мы запретим хостам внутренней подсети обращаться на порты
стандартных аудио и видео сервисов.
Что нам потребуется?
1) Создать список доступа, содержащий требуемые порты
access-list block_stream deny tcp any any eq 554
access-list block_stream deny udp any any eq 554
access-list block_stream deny udp any any eq 2979
access-list block_stream deny udp any any eq 1790
access-list block_stream deny udp any any eq 1755
access-list block_stream deny udp any any eq 1736
access-list block_stream deny udp any any eq 537
access-list block_stream deny tcp any any eq 2979
access-list block_stream deny tcp any any eq 1790
access-list block_stream deny tcp any any eq 1755
access-list block_stream deny tcp any any eq 1736
access-list block_stream deny tcp any any eq 537
2) Создать список доступа, разрешающий доступ на стандартные порты
!--- Разрешаем DNS запросы
access-list allow_ports permit tcp any any eq 53
access-list allow_ports permit udp any any eq 53
!--- Разрешаем Web трафик (http и https)
access-list allow_ports permit tcp any any eq 80
access-list allow_ports permit tcp any any eq 443
!--- Разрешаем ICQ
access-list allow_ports permit tcp any any eq 5190
!--- Разрешаем FTP
access-list allow_ports permit tcp any any eq 21
!--- Разрешаем RDP
access-list allow_ports permit tcp any any eq 3389
!--- Разрешаем почтовый трафик (SMTP и pop3)
access-list allow_ports permit tcp any any eq 110
access-list allow_ports permit tcp any any eq 25
3) Применить список доступа на интерфейс (в нашем случае это внутренний интерфейс)
access-group block_stream in interface inside
access-group allow_ports in interface inside
4) Сохранить конфигурацию
wr mem
5) Проверить
С ПК, находящегося в локальной подсети необходимо подключиться к
http://relax-fm.ru/online_unreg.php?br=32 и убедится в том, что
проигрыватель не смог загрузить контент
По материалам http://faq-cisco.ru
