239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
1

Запрет на доступ к определенным сайтам. Cisco ASA?

26.08.2013, 12:47. Показов 5622. Ответов 14
Метки нет (Все метки)

Добрый день, у нас в РФ приняли закон, обязывающий интернет провайдеров ограничивать доступ к определенным интернет ресурсам. Список ресурсов обновляется ежечасно.

Можно ли обучить Cisco (ASA(в идеале в прозрачном режиме),Router, что нибудь еще из Cisco) брать список URL из файла(kakoy-nibud.txt) и блокировать доступ к ним? Направьте меня в нужную сторону пожалуйста..)
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
26.08.2013, 12:47
Ответы с готовыми решениями:

Закрыть доступ к определенным сайтам на cisco 1801
Добрый день! Помогите пожалуйста, возникла такая необходимость, что нужно заблокировать доступ...

Запрет на доступ к ASDM (ASA)
Здравствуйте. CISCO ASA. Как запретить конкретному локальному пользователю доступ к ASDM? а...

Удалённый доступ по RDP через Cisco ASA
Здравствуйте! Помогите, пожалуйста, с брандмауэром. Человек, который им занимался, в отпуске,...

Как дать доступ в интернет (cisco asa).
Добрый день, Вопрос по Cisco ASA 55XX. Только сильно не пинайте, новичок. Залил свежий ASDM, IOS...

14
Эксперт по компьютерным сетям
5842 / 3307 / 1025
Регистрация: 03.11.2009
Сообщений: 9,917
26.08.2013, 21:10 2
а где можно ознакомиться с листом?
начать можно с чего-нибудь вроде (да простят меня гуру баша, импровизировал)
Bash
1
while read line; do nslookup $line 8.8.8.8 | grep "Address: [0-9]" | awk '{print $2}'; done < urls.txt > ip.txt && while read line; do echo "deny ip any host $line log"; done < ip.txt > acl.txt
тогда файл с записями типа
Код
www.google.com
www.yandex.com
www.mail.ru
www.microsoft.com
www.cyberforum.ru
превратится в файл с записями типа
Код
deny ip any host 173.194.112.242 log
deny ip any host 173.194.112.243 log
deny ip any host 173.194.112.241 log
deny ip any host 173.194.112.240 log
deny ip any host 173.194.112.244 log
deny ip any host 213.180.204.62 log
deny ip any host 217.69.141.21 log
deny ip any host 217.69.141.22 log
deny ip any host 65.55.57.27 log
deny ip any host 37.202.62.86 log
и дальше по аналогии можно заходить на коробку, удалять старый лист и вставлять новый
1
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
26.08.2013, 23:37  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
а где можно ознакомиться с листом?
У меня пока нет возможности посмотреть, там судя по написанному надо регаться, получать электронный ключ и тогда уже можно будет загрузить полный список сайтов)
Цитата Сообщение от Jabbson Посмотреть сообщение
начать можно с чего-нибудь вроде (да простят меня гуру баша, импровизировал)


Bash
1
while read line; do nslookup $line 8.8.8.8 | grep "Address: [0-9]" | awk '{print $2}'; done < urls.txt > ip.txt && while read line; do echo "deny ip any host $line log"; done < ip.txt > acl.txt
тогда файл с записями типа
www.google.com
www.yandex.com
www.mail.ru
www.microsoft.com
www.cyberforum.ru
превратится в файл с записями типа
C
1
2
3
4
5
6
7
8
9
10
deny ip any host 173.194.112.242 log
deny ip any host 173.194.112.243 log
deny ip any host 173.194.112.241 log
deny ip any host 173.194.112.240 log
deny ip any host 173.194.112.244 log
deny ip any host 213.180.204.62 log
deny ip any host 217.69.141.21 log
deny ip any host 217.69.141.22 log
deny ip any host 65.55.57.27 log
deny ip any host 37.202.62.86 log
Вот это круто))

Цитата Сообщение от Jabbson Посмотреть сообщение
и дальше по аналогии можно заходить на коробку, удалять старый лист и вставлять новый
а можно как нибудь Cisco научить по расписанию скачивать файлик и из него к примеру применять в running список типа:
Цитата Сообщение от Jabbson Посмотреть сообщение
C
1
2
3
4
5
6
7
8
9
10
deny ip any host 173.194.112.242 log
deny ip any host 173.194.112.243 log
deny ip any host 173.194.112.241 log
deny ip any host 173.194.112.240 log
deny ip any host 173.194.112.244 log
deny ip any host 213.180.204.62 log
deny ip any host 217.69.141.21 log
deny ip any host 217.69.141.22 log
deny ip any host 65.55.57.27 log
deny ip any host 37.202.62.86 log
0
Эксперт по компьютерным сетям
5842 / 3307 / 1025
Регистрация: 03.11.2009
Сообщений: 9,917
27.08.2013, 01:21 4
конечно, с помощью tcl.
сначала вытягиваете файл с сервера во временный файл на роутере, сравниваете его с предыдущим, если разницы нет, удаляете временный файл, если есть - перезаписываете старый файл новым, удаляете временный, считываете построчно из файла и добавляете в конфиг. Выполнять по крону в апплете.
1
Эксперт по компьютерным сетям
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
27.08.2013, 07:55 5
jlevistk, А почему не regex брать?

Не по теме:

А заливать можно по крону))
Я как раз такими скриптами и балуюсь, всякое заливаю)

1
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
27.08.2013, 09:38  [ТС] 6
MonaxGT, А ASA это умеет? Я бы прозрачно хотел ее поставить..

Добавлено через 6 минут

Не по теме:

ASA это не умеет, прочитал.. просто очень не хочется маршрутизировать у себя внешнюю сеть..)


Можно будет попробовать тогда сделать средствами ПК наверное, чтобы он подключался и команды вводил..
Или как то еще можно?)
0
Эксперт по компьютерным сетям
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
27.08.2013, 10:27 7
jlevistk, 5580 умеет...

Сделайте с помощью скрипта. Если на линуксе ПК, можно в крон засунуть программу или как сказал Jabbson
Я лью с помощью специальных модулей, можно обойтись с помощью баша, экспекта.
0
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
27.08.2013, 14:04  [ТС] 8
MonaxGT, А можно ссылочку на мануал какой нибудь для асы?)
0
Эксперт по компьютерным сетям
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
27.08.2013, 14:52 9
jlevistk, пишите в личку. На форуме не могу такое выкладывать. Jabbson ругаться будет =)

Не по теме:

Уж больно он дотошным стал =))

0
Эксперт по компьютерным сетям
5842 / 3307 / 1025
Регистрация: 03.11.2009
Сообщений: 9,917
27.08.2013, 16:36 10
MonaxGT,

Не по теме:


link
6. Об администрации форума.
...
___5. Запрещено публично обсуждать действия администрации форума, касающиеся их прямых обязанностей.
...
___11. Действия модераторов могут быть обжалованы у администраторов форума.

0
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
27.08.2013, 23:07  [ТС] 11
MonaxGT, так в итоге то, можно сделать это на ASA 5512-X какой нибудь средствами ее самой, сделав её прозрачной?
Или надо будет юзать что-то типа скрипта работающего с ней через Putty?
Очень не хочется покупать доп. IP, чтобы маршрутизировать полученные адреса..
0
Эксперт по компьютерным сетям
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
28.08.2013, 08:06 12
Скрипт в любом случае. Вопрос в acl или regex.
0
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
28.08.2013, 20:27  [ТС] 13
ну... я думаю, что надо будет запариться еще и с regex, потому что помимо обращения к сайту идет еще и запрос на dns сервер. Кто его знает, что на уме у ребят из органов, может и к этому прикапаются..)
0
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
03.09.2013, 16:50  [ТС] 14

Не по теме:

купили ключик для доступа к реестру сайтов,но не купили оборудование :rofl: :facepalm:



Добавлено через 4 часа 53 минуты

Не по теме:

Если кому интересно, то они список в файлике XML дают.

0
MonaxGT
03.09.2013, 17:17     Запрет на доступ к определенным сайтам. Cisco ASA?
  #15

Не по теме:

jlevistk ,Вот это было очень интересно)
Пример приведите строчки, это будет интересно

0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
03.09.2013, 17:17

Доступ в DMZ на ASA 5505 (в Cisco Packet Tracer)
Всем доброго времени суток! Всё вроде правильно настроено, но почему то из Remote PC в SharePoint...

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...

Есть ли Cisco Feature Navigator, для Cisco ASA?
Добрый день. Меня интересует вопрос, есть ли Cisco Feature Navigator, для Cisco ASA? Необходимо...

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R. Между ASAv4 и ASAv5 -...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru