https://www.opennet.ru/openforum/vsluhforumID6/22104.html Всем доброго времени суток!<br>Вопрос заключается в следующем.<br><br>Есть ASA на которая выполняет роль файрвола, на ней же<br>я хочу отфильтровать парочку http запросов.<br>http фильтрацию применяю средствами match request...<br>С фильтрацией проблем нету.<br><br>Основная проблема в том что из-за присутствия не симметричной <br>маршрутизации при хождении на некоторые хосты, вынужден использовать<br>TCP_BYPASS политику. Как известно на один интерфейс <br>можно назначить только одну политику, так вот если в одной политике<br>и заниматься http фильтрацией и включать tcp_bypass,<br>то http фильтрация напрочь отказывается работать.<br><br>Вот часть конфига отвечающая за фильтрацию и байпас:<br>------------------------------------------------------<br>class-map CLASS-MATCH-ANY<br> match any<br>class-map block-user-class<br> match access-list user-acl<br>class-map inspection_default<br> match default-inspection-traffic<br>class-map type inspect http match-any block-url-class<br> match request uri regex blockex1<br>class-map tcp_bypass<br> match access-list tcp_bypa https://www.opennet.ru/openforum/vsluhforumID6/22104.html#1 Thu, 06 Jan 2011 13:32:20 GMT &gt;[оверквотинг удален]<br>&gt; class tcp_bypass <br>&gt; set connection advanced-options tcp-state-bypass <br>&gt; policy-map tcp_bypass_policy <br>&gt; class block-user-class <br>&gt; inspect http block-url-policy <br>&gt; class tcp_bypass <br>&gt; set connection advanced-options tcp-state-bypass <br>&gt; !<br>&gt; service-policy tcp_bypass_policy interface net32 <br>&gt; Заранее спасибо!<br><br>Всем спасибо за внимание!<br>Проблема решена!<br><br>TCP_BYPASS перекрывает, как выяснилось inspect http. По этому если используется<br>TCP_BYPASS то для отдельных хостов, там где надо сделать http-фильтрацию необходимо<br>организовать отдельный NAT, так чтобы не возникало не симметричной маршрутизации!<br>