2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
1 | |
Фильтрация url на cisco asa13.11.2014, 11:55. Показов 4698. Ответов 16
Метки нет (Все метки)
Добрый день, сделал настройки по этому посту - Фильтрация URL на ASA, но ничего не получилось((( запередргивался как ходил на ВК так и хожу
Добавлено через 1 час 47 минут что интересно - я указал 2 типа траффика - http и https. выключаешь http в service policy- работает интернет только по http, включаешь http и выключаешь https - только по https. Где собака зарыта?
0
|
13.11.2014, 11:55 | |
Ответы с готовыми решениями:
16
Фильтрация URL на ASA Cisco ASA URL Filtering Фильтрация http запросов на Cisco ASA 5510 Фильтрация URL адресов в Cisco 2911 |
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
03.12.2014, 07:11 [ТС] | 2 |
Jabbson, Добрый день! не могли бы вы помочь в это ситуации ???
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
03.12.2014, 09:32 [ТС] | 4 |
Код
class-map type inspect http match-any block-url match request uri regex regexVK match request uri regex regexAD ! policy-map type inspect http block-url-inspect parameters protocol-violation action drop-connection log class block-url drop-connection log policy-map inside-block-url class inside-filter-class inspect http block-url-inspect service-policy inside-block-url interface inside полный конфиг
Код
ASA Version 8.4(7) ! hostname xxxxxxxxxxx domain-name xxxxxxxxxx enable password xxxxxxxxxxxxxxx encrypted passwd xxxxxxxxxxxxxxxx encrypted ! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 192.168.1.14 255.255.255.0 standby 192.168.1.25 ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.28 vlan 28 nameif dmz security-level 50 ip address 172.16.28.1 255.255.255.0 standby 172.16.28.2 ! interface GigabitEthernet0/2 nameif ouside security-level 0 ip address 10.10.1.2 255.255.255.0 standby 10.10.1.3 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 description LAN/STATE Failover Interface management-only ! regex regexAD "adme.ru" regex regexVK "vk.com" boot system disk0:/asa847-k8.bin ftp mode passive clock timezone LKT 6 dns domain-lookup dmz dns server-group DefaultDNS name-server xxxxxxxxxx name-server xxxxxxxxxxx domain-name xxxxxxxxxxx ! snmp-map MARS deny version 1 ! pager lines 24 ! logging enable logging emblem logging console warnings logging monitor emergencies logging trap debugging logging history alerts logging asdm informational logging from-address xxxxxxxxxxxxxxx logging recipient-address xxxxxxxxxxxxx level errors logging host inside 172.16.27.222 logging class auth monitor emergencies ! flow-export destination inside MARS 2055 flow-export template timeout-rate 2 flow-export delay flow-create 15 ! mtu inside 1500 mtu dmz 1500 mtu ouside 1500 ! failover failover lan unit primary failover lan interface failover Management0/0 failover key cisco failover replication http failover link failover Management0/0 failover interface ip failover 10.1.1.1 255.255.255.252 standby 10.1.1.2 monitor-interface dmz ! icmp unreachable rate-limit 1 burst-size 1 ! asdm image disk0:/asdm-647.bin no asdm history enable ! arp timeout 14400 no arp permit-nonconnected ! access-group inside_access_in in interface inside access-group dmz_access_in in interface dmz access-group ouside_access_in in interface ouside ! route dmz 0.0.0.0 0.0.0.0 DMZ-IDECO 1 ! timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 2:00:00 half-closed 0:40:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 ! dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL ! aaa authentication ssh console LOCAL aaa authentication http console LOCAL ! http server enable http 172.16.22.2 255.255.255.255 inside http 172.16.22.3 255.255.255.255 inside ! snmp-server host inside MARS community public no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps snmp authentication linkup linkdown coldstart snmp-server enable traps syslog ! crypto ca trustpoint ASDM_TrustPoint0 enrollment self subject-name CN=192.168.1.14 crl configure ! crypto ca certificate chain ASDM_TrustPoint0 zxzxzxzx zxzxzxzxzx quit ! telnet timeout 5 ! ssh scopy enable ssh 172.16.22.2 255.255.255.255 inside ssh 172.16.22.3 255.255.255.255 inside ssh MARS 255.255.255.255 inside ssh timeout 5 ssh key-exchange group dh-group1-sha1 ! console timeout 5 ! threat-detection basic-threat threat-detection statistics threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 ! ntp server DMZ-IDECO source dmz prefer ! ssl trust-point ASDM_TrustPoint0 inside ! webvpn ! username Iokfj&*Jfh!%GT password wz5m7XcuJJDtO.xh encrypted privilege 15 tunnel-group-map default-group DefaultL2LGroup ! class-map global-class description flow_export_class match any ! class-map type inspect http match-all asdm_medium_security_methods match not request method head match not request method post match not request method get ! class-map inspection_default match default-inspection-traffic ! class-map type inspect http match-any block-url match request uri regex regexVK match request uri regex regexAD ! class-map type inspect http match-all asdm_high_security_methods match not request method head match not request method get class-map inside-filter-url match access-list inside_mpc ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 ! policy-map global_policy class inspection_default inspect dns preset_dns_map inspect icmp inspect ils inspect ip-options inspect netbios inspect pptp inspect snmp inspect sqlnet inspect tftp inspect http class global-class flow-export event-type all destination MARS class class-default user-statistics accounting ! policy-map type inspect http block-url-inspect parameters protocol-violation action drop-connection log class block-url drop-connection log ! policy-map inside-policy-url class inside-filter-url inspect http block-url-inspect ! service-policy global_policy global service-policy inside-policy-url interface inside ! smtp-server 172.16.28.6 ! prompt hostname state priority no call-home reporting anonymous hpm topN enable убрал объекты и аксес листы
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
||||||
03.12.2014, 10:44 [ТС] | 6 | |||||
оке. но другие сайты типа adme.ru который указан также не фильтруется по http.
Добавлено через 5 минут
0
|
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
03.12.2014, 18:18 | 7 |
Попробуйте вот так:
Код
regex REGEX-ADME "adme\.ru" class-map type inspect http match-any CM-INS-HTTP-BLOCK-ADME match request header host regex REGEX-ADME policy-map type inspect http PM-INS-HTTP-BLOCK-ADME class CM-INS-HTTP-BLOCK-ADME drop-connection log policy-map global_policy class inspection_default inspect http PM-INS-HTTP-BLOCK-ADME Код
class-map type inspect dns match-any CM-INS-DNS-BLOCK-ADME match domain-name regex REGEX-ADME policy-map type inspect dns PM-INS-DNS-BLOCK-ADME parameters message-length maximum 512 class CM-INS-DNS-BLOCK-ADME drop-connection log policy-map global_policy class inspection_default inspect dns PM-INS-DNS-BLOCK-ADME Код
no service-policy global_policy global service-policy global_policy global
1
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
04.12.2014, 09:03 [ТС] | 8 |
Помогло!!! Я понял где допустил ошибку, Спасибо Вам большое!
Добавлено через 51 минуту Но vk.com Аса не блочит. Так как https она не распознаёт. Прально?
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
04.12.2014, 12:13 [ТС] | 10 |
ТО есть можно это сделать, но только при подключении доп модуля IPS (насколько помню)
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
||||||
04.12.2014, 13:41 [ТС] | 12 | |||||
0
|
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
04.12.2014, 13:54 | 13 |
все зависит от того, как у Вас настроено, я во втором примере брал кусочек со своей асы, поэтому первый и второй пример немного разнятся именами
Добавлено через 1 минуту Поправил, чтобы не возникало недопонимания в тех, кто будет читать потом.
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
05.12.2014, 05:04 [ТС] | 14 |
ДА, я понял. Может все таки есть какой нибудь метод обойтись средствами 5520 и залочить VK ?
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
09.12.2014, 05:06 [ТС] | 16 |
вынес политику для VK отдельно
Кликните здесь для просмотра всего текста
Код
class-map type inspect http match-any CM-INS-HTTP-BLOCK-URL match request header host regex REGEX-ADME ! class-map type inspect dns match-any CM-INS-DNS-BLOCK-URL match domain-name regex REGEX-VK ! class-map global-class description flow_export_class match any ! class-map inside-class match access-list inside_mpc ! class-map type inspect http match-all asdm_medium_security_methods match not request method head match not request method post match not request method get ! class-map inspection_default match default-inspection-traffic ! class-map type inspect http match-all asdm_high_security_methods match not request method head match not request method get ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 ! policy-map type inspect dns PM-INS-DNS-BLOCK-URL parameters message-length maximum 512 class CM-INS-DNS-BLOCK-URL drop-connection log ! policy-map type inspect http PM-INS-HTTP-BLOCK-URL parameters class CM-INS-HTTP-BLOCK-URL drop-connection log ! policy-map global_policy class global-class flow-export event-type all destination MARS class inspection_default inspect http inspect icmp inspect ils inspect ip-options inspect netbios inspect pptp inspect snmp inspect sqlnet inspect tftp inspect dns preset_dns_map class class-default user-statistics accounting ! policy-map url-policy-inside class inside-class inspect http PM-INS-HTTP-BLOCK-URL ! service-policy global_policy global service-policy url-policy-inside interface inside но DNS не блочит, если вешать полиси мап PM-INS-DNS-BLOCK-URL на инспекшен дефолт то интернет ващпе пропадает
0
|
2 / 2 / 0
Регистрация: 26.06.2013
Сообщений: 54
|
|
14.01.2015, 04:54 [ТС] | 17 |
В общем все получилось! спасибо! Вы как всегда помогли
0
|
14.01.2015, 04:54 | |
14.01.2015, 04:54 | |
Помогаю со студенческими работами здесь
17
Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon Есть ли Cisco Feature Navigator, для Cisco ASA? Cisco ASA<->Cisco Router L2L VPN Cisco ASA CX Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |