mnemonic Опубликовано 19 июля, 2016 (изменено) · Жалоба Добрый день, коллеги! Есть задача блокировать URL из черного списка. HTTP более меннее блочит SCE Проблема возникла с блокировкой HTTPS. Начали блокировать по IP, но возникли проблемы с недоступностью некоторых сайтов. Клиенты жалуются. Решили что надо на этих IP блочить только HTTPS. Попробовал сделать такую конструкцию на 6500 ip access-list extended zapret permit tcp any addrgroup zapret-ip eq 443 object-group ip address zapret-ip 104.20.77.200 255.255.255.255 104.20.77.239 255.255.255.255 ............................ 104.20.79.44 255.255.255.255 104.20.8.156 255.255.255.255 сейчас всего 3839 IP адреса route-map ZAPRET permit 10 match ip address zapret set ip next-hop 192.168.0.1 interface vlan 999 ip policy route-map ZAPRET Трафик HTTPS идёт на Squid. Конструкция рабочая, но не масштабируемая. Когда начинаешь вешать route-map на клиентские VLAN, то ACL_TCAM очень быстро расходуются и кончаются. Посоветуйте как решить проблему. Изменено 19 июля, 2016 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 июля, 2016 · Жалоба 1. Берете и блокируйте целиком домены https. На уровне ваших DNS. 2. Берете и с сервера со сквидом анонсируете по BGP заблокированные ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 19 июля, 2016 · Жалоба 1. Берете и блокируйте целиком домены https. На уровне ваших DNS. 2. Берете и с сервера со сквидом анонсируете по BGP заблокированные ip. Второй пункт можно поподробнее. с примером если можно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 19 июля, 2016 · Жалоба блокируйте целиком домены https. На уровне ваших DNS. 2. Берете и с сервера со сквидом ан Вы знаете что такое bgp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 20 июля, 2016 · Жалоба блокируйте целиком домены https. На уровне ваших DNS. 2. Берете и с сервера со сквидом ан Вы знаете что такое bgp? Я знаю что такое BGP, но я не такой великий специалист как Вы. Поэтому и обратился на форум. Если я буду анонсировать эти IP адреса, то они попадут в таблицу маршрутизации и весь трафик на эти IP польётся на прокси. А мне нужно чтобы шли на прокси только запросы на 443 порт по этим IP. Возможно есть способ эти IP которые прилетают по BGP использовать в route-map вместо создания огромного кол-ва ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 июля, 2016 (изменено) · Жалоба Имхо пусть лучше весь трафик к этим ИПам на Сквид, чем городить для этого PBR на роутере. Только есть такой момент, трафик не должен возвращаться в ту же таблицу маршрутизации, думаю понятно почему. Изменено 22 июля, 2016 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...