Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/15: Рейтинг темы: голосов - 15, средняя оценка - 4.80
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
1

Запрет на доступ к определенным сайтам. Cisco ASA?

26.08.2013, 12:47. Просмотров 2932. Ответов 14
Метки нет (Все метки)

Добрый день, у нас в РФ приняли закон, обязывающий интернет провайдеров ограничивать доступ к определенным интернет ресурсам. Список ресурсов обновляется ежечасно.

Можно ли обучить Cisco (ASA(в идеале в прозрачном режиме),Router, что нибудь еще из Cisco) брать список URL из файла(kakoy-nibud.txt) и блокировать доступ к ним? Направьте меня в нужную сторону пожалуйста..)
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
26.08.2013, 12:47
Ответы с готовыми решениями:

Закрыть доступ к определенным сайтам на cisco 1801
Добрый день! Помогите пожалуйста, возникла такая необходимость, что нужно...

Запрет на доступ к ASDM (ASA)
Здравствуйте. CISCO ASA. Как запретить конкретному локальному пользователю...

Удалённый доступ по RDP через Cisco ASA
Здравствуйте! Помогите, пожалуйста, с брандмауэром. Человек, который им...

Как дать доступ в интернет (cisco asa).
Добрый день, Вопрос по Cisco ASA 55XX. Только сильно не пинайте, новичок....

Доступ в DMZ на ASA 5505 (в Cisco Packet Tracer)
Всем доброго времени суток! Всё вроде правильно настроено, но почему то из...

14
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
26.08.2013, 21:10 2
а где можно ознакомиться с листом?
начать можно с чего-нибудь вроде (да простят меня гуру баша, импровизировал)
Bash
1
while read line; do nslookup $line 8.8.8.8 | grep "Address: [0-9]" | awk '{print $2}'; done < urls.txt > ip.txt && while read line; do echo "deny ip any host $line log"; done < ip.txt > acl.txt
тогда файл с записями типа
Код
www.google.com
www.yandex.com
www.mail.ru
www.microsoft.com
www.cyberforum.ru
превратится в файл с записями типа
Код
deny ip any host 173.194.112.242 log
deny ip any host 173.194.112.243 log
deny ip any host 173.194.112.241 log
deny ip any host 173.194.112.240 log
deny ip any host 173.194.112.244 log
deny ip any host 213.180.204.62 log
deny ip any host 217.69.141.21 log
deny ip any host 217.69.141.22 log
deny ip any host 65.55.57.27 log
deny ip any host 37.202.62.86 log
и дальше по аналогии можно заходить на коробку, удалять старый лист и вставлять новый
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
26.08.2013, 23:37  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
а где можно ознакомиться с листом?
У меня пока нет возможности посмотреть, там судя по написанному надо регаться, получать электронный ключ и тогда уже можно будет загрузить полный список сайтов)
Цитата Сообщение от Jabbson Посмотреть сообщение
начать можно с чего-нибудь вроде (да простят меня гуру баша, импровизировал)


Bash
1
while read line; do nslookup $line 8.8.8.8 | grep "Address: [0-9]" | awk '{print $2}'; done < urls.txt > ip.txt && while read line; do echo "deny ip any host $line log"; done < ip.txt > acl.txt
тогда файл с записями типа
www.google.com
www.yandex.com
www.mail.ru
www.microsoft.com
www.cyberforum.ru
превратится в файл с записями типа
C
1
2
3
4
5
6
7
8
9
10
deny ip any host 173.194.112.242 log
deny ip any host 173.194.112.243 log
deny ip any host 173.194.112.241 log
deny ip any host 173.194.112.240 log
deny ip any host 173.194.112.244 log
deny ip any host 213.180.204.62 log
deny ip any host 217.69.141.21 log
deny ip any host 217.69.141.22 log
deny ip any host 65.55.57.27 log
deny ip any host 37.202.62.86 log
Вот это круто))

Цитата Сообщение от Jabbson Посмотреть сообщение
и дальше по аналогии можно заходить на коробку, удалять старый лист и вставлять новый
а можно как нибудь Cisco научить по расписанию скачивать файлик и из него к примеру применять в running список типа:
Цитата Сообщение от Jabbson Посмотреть сообщение
C
1
2
3
4
5
6
7
8
9
10
deny ip any host 173.194.112.242 log
deny ip any host 173.194.112.243 log
deny ip any host 173.194.112.241 log
deny ip any host 173.194.112.240 log
deny ip any host 173.194.112.244 log
deny ip any host 213.180.204.62 log
deny ip any host 217.69.141.21 log
deny ip any host 217.69.141.22 log
deny ip any host 65.55.57.27 log
deny ip any host 37.202.62.86 log
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
27.08.2013, 01:21 4
конечно, с помощью tcl.
сначала вытягиваете файл с сервера во временный файл на роутере, сравниваете его с предыдущим, если разницы нет, удаляете временный файл, если есть - перезаписываете старый файл новым, удаляете временный, считываете построчно из файла и добавляете в конфиг. Выполнять по крону в апплете.
1
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
27.08.2013, 07:55 5
jlevistk, А почему не regex брать?

Не по теме:

А заливать можно по крону))
Я как раз такими скриптами и балуюсь, всякое заливаю)

1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
27.08.2013, 09:38  [ТС] 6
MonaxGT, А ASA это умеет? Я бы прозрачно хотел ее поставить..

Добавлено через 6 минут

Не по теме:

ASA это не умеет, прочитал.. просто очень не хочется маршрутизировать у себя внешнюю сеть..)


Можно будет попробовать тогда сделать средствами ПК наверное, чтобы он подключался и команды вводил..
Или как то еще можно?)
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
27.08.2013, 10:27 7
jlevistk, 5580 умеет...

Сделайте с помощью скрипта. Если на линуксе ПК, можно в крон засунуть программу или как сказал Jabbson
Я лью с помощью специальных модулей, можно обойтись с помощью баша, экспекта.
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
27.08.2013, 14:04  [ТС] 8
MonaxGT, А можно ссылочку на мануал какой нибудь для асы?)
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
27.08.2013, 14:52 9
jlevistk, пишите в личку. На форуме не могу такое выкладывать. Jabbson ругаться будет =)

Не по теме:

Уж больно он дотошным стал =))

0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
27.08.2013, 16:36 10
MonaxGT,

Не по теме:


link
6. Об администрации форума.
...
___5. Запрещено публично обсуждать действия администрации форума, касающиеся их прямых обязанностей.
...
___11. Действия модераторов могут быть обжалованы у администраторов форума.

0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
27.08.2013, 23:07  [ТС] 11
MonaxGT, так в итоге то, можно сделать это на ASA 5512-X какой нибудь средствами ее самой, сделав её прозрачной?
Или надо будет юзать что-то типа скрипта работающего с ней через Putty?
Очень не хочется покупать доп. IP, чтобы маршрутизировать полученные адреса..
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
28.08.2013, 08:06 12
Скрипт в любом случае. Вопрос в acl или regex.
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
28.08.2013, 20:27  [ТС] 13
ну... я думаю, что надо будет запариться еще и с regex, потому что помимо обращения к сайту идет еще и запрос на dns сервер. Кто его знает, что на уме у ребят из органов, может и к этому прикапаются..)
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
03.09.2013, 16:50  [ТС] 14

Не по теме:

купили ключик для доступа к реестру сайтов,но не купили оборудование :rofl: :facepalm:



Добавлено через 4 часа 53 минуты

Не по теме:

Если кому интересно, то они список в файлике XML дают.

0
MonaxGT
03.09.2013, 17:17     Запрет на доступ к определенным сайтам. Cisco ASA?
  #15

Не по теме:

jlevistk ,Вот это было очень интересно)
Пример приведите строчки, это будет интересно

0
03.09.2013, 17:17
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
03.09.2013, 17:17
Привет! Вот еще темы с ответами:

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит...

Есть ли Cisco Feature Navigator, для Cisco ASA?
Добрый день. Меня интересует вопрос, есть ли Cisco Feature Navigator, для Cisco...

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R....


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru