https://opennet.ru/openforum/vsluhforumID6/985.html Добрый день.<br><br>Схема сети.<br><br>Cisco 3825<br>2 провайдера, интернет от которых получаем по BGP.<br>Своя автономка.<br><br><br>Интернет клиентам раздаётся путём выделения каждому своего vlan-а.<br><br>На просторах интернета найден скрипт, забирающий и парсящий реестр раз в сутки и создающий на его основе два access-листа. Один для nginx, второй для cisco.<br>На cisco создан access-list "rzs" а так же route-map на основе данного листа, заворачивающий весть трафик до определённых IP на хост с nginx, который выступает прокси-сервером.<br><br>[code]<br># show route-map rzs<br>route-map rzs, permit, sequence 1<br> Match clauses:<br> ip address (access-lists): rzs<br> Set clauses:<br> ip next-hop 1.2.3.4<br> Policy routing matches: 0 packets, 0 bytes<br><br># show ip access-lists rzs<br>Extended IP access list rzs<br> 10 permit tcp any host 103.31.186.56 eq www 443<br> 20 permit tcp any host 103.31.186.73 eq www 443<br> 30 permit tcp any host 108.162.192.166 eq www 443<br>....<br>[/code]<br><br><br>Задача.<br>Ограничить всем клиентам доступ к определённым https://opennet.ru/openforum/vsluhforumID6/985.html#14 Wed, 09 Oct 2013 04:52:32 GMT &gt; Так почему не заворачивать весь трафик?<br><br>Ради пары десятков сайтов ?<br>Не вижу смысла.<br><br>&gt; Чините: может прошивка старая, может памяти мало?!!<br>&gt; Просто так Cisco не зависает на NBAR; можно show ver ?<br><br>[code]<br>#show version<br>Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(19), RELEASE SOFTWARE (fc1)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2008 by Cisco Systems, Inc.<br>Compiled Sat 01-Mar-08 01:27 by prod_rel_team<br><br>ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)<br><br>R1 uptime is 19 hours, 39 minutes<br>System returned to ROM by power-on<br>System restarted at 15:12:20 Ural Tue Oct 8 2013<br>System image file is "flash:c3825-advipservicesk9-mz.124-19.bin"<br><br><br>This product contains cryptographic features and is subject to United<br>States and local country laws governing import, export, transfer and<br>use. Delivery of Cisco cryptographic products does not imply<br>third-party authority to import, export, distribute or use encryption.<br>Importe https://opennet.ru/openforum/vsluhforumID6/985.html#13 Mon, 07 Oct 2013 10:03:47 GMT И закрывать лучше урлы с кодом 451, здесь я с Гуглом согласен.<br> https://opennet.ru/openforum/vsluhforumID6/985.html#12 Mon, 07 Oct 2013 10:01:23 GMT Не советую дёргать каждый день сохранение конфигурации.<br>Лучше анонсить нужные айпишники на какой-нибудь прокси, где по нужному url будет закрываться доступ.<br> https://opennet.ru/openforum/vsluhforumID6/985.html#11 Mon, 07 Oct 2013 08:33:50 GMT &gt; Из того же дампа вытягивается список доменов и резолвятся их IP, на <br>&gt; основе которых строится access=list для route-map-а. Именно трафик, идущий на эти <br>&gt; IP роутится на машину с nginx и там уже nginx блокирует <br>&gt; совпадающие URL, остальные проксирует как есть.<br><br>Так почему не заворачивать весь трафик?<br><br>&gt; Просто циска повисла когда применил несколько правил используя NBAR.<br><br>Чините: может прошивка старая, может памяти мало?!!<br>Просто так Cisco не зависает на NBAR; можно show ver ?<br><br>&gt;&gt; Видимо я все же не вполне понимаю в чем задача... почему не <br>&gt;&gt; ограничивать доступ на прокси? А на него заворачивать весь нелокальный http-траффик...<br>&gt; В принципе идея как раз в этом, только в качестве прокси nginx <br>&gt; как более легкий.<br><br>Так заворачивайте весь (!) трафик, в этом случае перенастройка cisco требоваться не будет.<br><br> https://opennet.ru/openforum/vsluhforumID6/985.html#10 Mon, 07 Oct 2013 03:52:47 GMT &gt; Добрый день.<br>&gt; Тогда я не понял, как Вы определяете список запрещенных сайтов? По IP-адресу? <br><br>Список запрещённых сайтов парсится из дампа реестра и на его основе создаётся access-list, точнее rewrite-list для nginx. Пример:<br>[code]if ($url ~* "0chan.hk/h/"){rewrite ^(.*)$ /403.html;}[/code]<br><br>Из того же дампа вытягивается список доменов и резолвятся их IP, на основе которых строится access=list для route-map-а. Именно трафик, идущий на эти IP роутится на машину с nginx и там уже nginx блокирует совпадающие URL, остальные проксирует как есть.<br> <br>&gt; Я полагаю, что если Вы фильтруете по URL - то NBAR единственный <br>&gt; приемлемый вариант.<br>&gt; ZBFW также использует NBAR, т.ч. в плане производительности не поможет.<br>&gt; Как Вы определили, что NBAR "сильно тормозит"?<br><br>Просто циска повисла когда применил несколько правил используя NBAR.<br><br>&gt; Видимо я все же не вполне понимаю в чем задача... почему не <br>&gt; ограничивать доступ на прокси? А на него заворачивать весь нелокальный http-траффик... <br><br>В принципе идея как р https://opennet.ru/openforum/vsluhforumID6/985.html#9 Mon, 07 Oct 2013 03:46:30 GMT &gt; Писал по памяти, могут быть ошибки.<br>&gt; Принцип понятен?<br><br>Спасибо.<br>Попробую разобраться.<br> https://opennet.ru/openforum/vsluhforumID6/985.html#8 Fri, 04 Oct 2013 15:54:18 GMT fix:<br>exp_send "show interfaces description\r"<br><br>А далее, например, делаете цикл с построчным разбором:<br>[CODE]<br>#в первой паре строчек скорее всего будет мусор<br>set data [split $expect_out(buffer) "\n"]<br>set dataLength [llength $data]<br>for {set i 2} {$i&lt;$dataLength} {incr i} {<br> set line [lindex $data $i]<br> #в tcl 8.5 можно использовать lassign, но на цисках обычно 8.3.4<br> set ifName [lindex $line 0]<br> set ifAdmStatus [lindex $line 1]<br> set ifOperStatus [lindex $line 2]<br> set ifDescr [lindex $line 3]<br> puts stdout "Found interface $ifName in state: $ifOperStatus\($ifAdmStatus\)"<br>}<br>[/CODE]<br><br>Писал по памяти, могут быть ошибки.<br>Принцип понятен?<br> https://opennet.ru/openforum/vsluhforumID6/985.html#7 Fri, 04 Oct 2013 12:41:35 GMT &gt;&gt; Добрый день!<br>&gt;&gt; Мне кажется, Вы нашли несколько нетривиальный подход к этой задаче.<br>&gt; Нашёл то что лежало на поверхности.<br>&gt; Если есть более удобный и простой способ решить поставленную задачу, буду благодарен <br>&gt; за совет.<br><br>Если Вы собираетесь фильтровать не по URL, а по ip, null route дает меньшую нагрузку, чем ACL. Хотя зная какой примерно объем трафика, можно предложить и другие решения. TPROXY, например.<br><br>&gt;&gt; Однако, если хочется сделать именно так, то данные, полученные expect'ом, сохраняются в <br>&gt;&gt; массиве expect_out - элементы массива expect_out(buffer) (вся полученная/отброшенная <br>&gt;&gt; инфа, в завимости от выражения), expect_out(1,string) (соответствие первому подшаблону <br>&gt;&gt; регулярки), и так 2..9,string.<br>&gt;&gt; Подробнее в man expect.<br>&gt;&gt; Еще - парсить удобнее построчный вывод, к примеру, после вывода команды show <br>&gt;&gt; interfaces description.<br>&gt; Если не трудно, приведите пример исходя из приведённого выше скрипта.<br>&gt; Спасибо!<br><br>Через expect:<br><br>exp_send "show interfaces description"<br>expect "#" https://opennet.ru/openforum/vsluhforumID6/985.html#6 Fri, 04 Oct 2013 05:32:00 GMT Добрый день.<br><br>Тогда я не понял, как Вы определяете список запрещенных сайтов? По IP-адресу?<br>Я полагаю, что если Вы фильтруете по URL - то NBAR единственный приемлемый вариант.<br><br>ZBFW также использует NBAR, т.ч. в плане производительности не поможет.<br><br>Как Вы определили, что NBAR "сильно тормозит"?<br><br>Видимо я все же не вполне понимаю в чем задача... почему не ограничивать доступ на прокси? А на него заворачивать весь нелокальный http-траффик...<br>