CiscoForums.it

Salve a tutti

volevo sapere se si poteva bloccare un sito sul firewall asa 5505?

Ciao,
se il sito web corrisponde ad un ip o anche ad un range di ip basta creare una acl.

se invece vuoi bloccare un nome a dominio la cosa richiede un po' più di lavoro.... è possibile usare espressioni regolari per matchare un nome a dominio attraverso il modular policy framework dell'asa

segui questo link
http://www.cisco.com/en/US/products/ps6 ... 0e04.shtml

ciao!

Il sito è badoo e facebook.

penso ke vadano bene anke le access-list.

Il sito è badoo e facebook.

penso ke vadano bene anke le access-list.

Bloccare l'accesso a determinate risorse web sulla base di un IP è più rapido perché bastano le acl...Resta il fatto che se Facebook o Badoo acquistano un nuovo ip range le acl non sarebbero più utili.
Rischi anche di bloccare siti web che devono restare raggiungibili.

sul sito http://www.robtex.com/dns/
trovi le subnet assegnate a determinati domini...

Facebook
69.63.176.0/21
69.63.184.0/21

riassumibili quindi nella supernet 69.63.176.0/20

Badoo
87.245.192.0/21

Un metodo più elegante è quello descritto sul sito cisco sul link indicato nel post precedente, con l'uso di espressioni regolari e service-policy. E' probabile che la CPU venga sovraccaricata un po', per la inspection a livello 7.

Valuta cosa ti conviene.

ciao!

ho provato nulla da fare i siti si aprono lo stesso ti mando uno sh run dell'apparato:



User Access Verification

Password:
Type help or '?' for a list of available commands.
Autoshop> en
Password: ******
Autoshop# sh run
: Saved
:
ASA Version 7.2(3)
!
hostname Autoshop
domain-name default.domain.invalid
enable password pFilglMXkulpkExl encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 88.39.181.226 255.255.255.240
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd RLPMUQ26KL4blgFN encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list inside_in extended permit ip any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp 88.39.181.226 3389 192.168.100.2 3389 netmask 255.25
5.255.255
route outside 0.0.0.0 0.0.0.0 192.168.100.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

!
class-map type inspect im match-all MSN
match protocol msn-im
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map type inspect im MESSENGER
parameters
class MSN
drop-connection log
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:73d078cf677fa3a696c2fd3aa70a11d9
: end
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#

Ma nello show run mancano le regole dell'acl!

hai inserito solo questa....

access-list inside_in extended permit ip any any

mancano le altre righe che ti indicavo nel post precedente.....
e mancano anche i due "access-group" per collegare le acl alle interfacce.!

prova!

Ciao,

Per come la vedo io, bloccare l'accesso ad un sito via ACL é impresa alquanto difficle in quanto spesso siti grandi come facebook e badoo appunto sono piutosto "mutanti" con l'indirizzo ip in quanto si é rediretti su server web diversi per ragioni di load balancing.
Personalmente ho chiuso l'accesso a facebook con una service-policy, lavorando quindi a livello superiore, intercettando tutte le richieste web http dirette all'host facebook.

Per farlo hai la necessità di attivare lo NBAR sulle interfacce del router.

di seguito la mia soluzione Il risultato é stato di bloccare il su facebook, con evidente scorno degli utenti che altresì continuavano a pingarlo (bloccavo solo il traffico http) ma non riuscivano più ad andare sull'host.
Sostituendo l'IP all'url, si riusciva ad andare alla home page del sito ma non si riusciva a loggarsi.

Saluti

scusa ma queste reagole posso metterle nell'ASA?