https://www.opennet.ru/openforum/vsluhforumID6/18207.html Здравствуйте, коллеги.<br><br> Есть задача: заблокировать http трафик по доменному имени.<br><br> Разумеется, сделать nslookup и вбить получившийся IP в ACL не сильно подходит, т.к. IP адрес в DNS может поменяться и результата не будет.<br><br> (config)#access-list 199 deny ip any host ?<br> Hostname or A.B.C.D Destination address<br><br> Как работает такой ACL? Тоже на первый момент резолвит имя в адрес, а потом при изменении адреса так же получается нулевой результат, или нет?<br><br> Пока что приходит на ум только поднять фейковую зону на локальном DNS сервере, но это не поможет от умников которые будут ходить по IP или использовать чужие DNS сервера.<br><br> Как решить такую задачу? NBAR с анализом URL'ов в HTTP заголовках?<br> У кого был опыт?<br><br> Заранее спасибо за ответы.<br> https://www.opennet.ru/openforum/vsluhforumID6/18207.html#1 Tue, 10 Feb 2009 07:11:35 GMT как-то тут проскакивало решение с помощью ip inspect , но это как я понял должен быть ios с поддержкой фаервола.<br><br>Насчет NBAR<br><br>class-map match-any vkontakte<br> match protocol http host "*vkontakte.ru"<br><br>policy-map test<br> class vkontakte<br> drop<br> class class-default<br> fair-queue<br><br>int gi0/1<br>service-policy input test<br><br><br>но от проксей и анонимайзеров наверное не спасет.<br><br><br>