Blokace/povolení přes L7

[Mazzalo]

Ahoj, potřeboval bych poradit s následujícím:
Blokuju některé www stránky určitým IP adresám které mám v address listu přes Layer7, vše funguje jak má, teď bych ale potřeboval udělat blokování opačně: povolit pouze některé www a vše ostatní zakázat a to se mi nedaří. Když zkusím v L7 napsat co chci povolit a v pravidle dát action accept a jako další pravidlo drop pro daný address list tak nejde nic.
Díky za rady.

zkouším:

Kód: Vybrat vše

add action=accept chain=forward comment=\
    "Povoleni www" dst-address-list=POS \
    layer7-protocol=povol

Kód: Vybrat vše

add name=povol regexp="^.+(slovnik|translate.google|).*\$"

[query]

Protože tím určitě nefiltruješ uplně všechno, co je pro zobrazení stránky potřeba. Schválně si nastav pravidlo na nějakou konkrétní stránku, kde znáš IP a pod to si udělej filtr na vzálenou IP vs tvoji IP a porovnej countery. Jinak ... povolit pouze vyjmenované stránky uděláš asi nejlíp pomocí HotSpotu.

[ludvik]

a) proč povoluješ podle IP a zároveň dle L7?
b) pokud za tím pravidlem máš zákaz (drop, reject, to je fuk), vše bude zakázáno - neboť v prvním paketu ten string dle L7 nenajdeš, ten je až v tom druhém (nebo třetím). Zakážeš mu navázání konexe.

Jak na to mě teď zrovna nepadá ... ale jediná cesta je asi přes connmark.

[Mazzalo]

a) protože nevím jak jinak to omezení/povolení aplikovat na určitou skupinu IP adres.
Jde to vůbec i jinak?
b) to zní logicky, ale proč tedy funguje spolehlivě blokování?

[ludvik]

a) ty se snažíš ale provozovat L7 v rámci cílových adres. Když už, tak bych řekl, že by tam měl být src-address-list

U blokování je to v pohodě. Ho sice necháš navázat TCP spojení, ale sekneš mu HTTP. A pokud to uděláš rejectem, klient ani nečeká na timeout.

Abych pravdu řekl, tohle bych opravdu tímto stylem nedělal. To snad ani nejde udělat spolehlivě. A pokud, tak děsně pracně ... Zkus ten hotspot, ten je na takovéto věci stavěný.

[Mazzalo]

Nakonec jsem to asi moc "hrotil" ty stránky co potřebuju povolit jsem zkusil dát do FW dle jejich IP adres, vše ostatní drop a funguje to bez problémů.
Díky všem.

[ludvik]

Nebezpečné ... IP adresy se mohou změnit.

Pro tyto účely byla vymyšlena Proxy. Ta DNS (resp. celému HTTP) rozumí. A je součástí i toho hotspotu ...

[Mazzalo]

Ano mohou, ale v tomto konkrétním případě to nevadí. Důležitý je blok internetu, to že by chvíli nešly povolené stránky nevadí.
Jde udělat aby čás stejného subnetu jela přes hotspot a část "normálně"?

[ludvik]

Tak teď jsi mě dostal ... zatím jsem neměl potřebu dělat nic jiného, než bypass dle MAC.

[query]

jasně, že jde. prostě si to nastavíš v pravidlech při tom zalkádání hotspotu a ty IP si nějak rozdělíš. (zkupina IP, DHCP, rozsah - od/do .... )
Jednodušší ale možná je udělat hotspot na vše a vzít konkrétní IP (resp. MAC )a přidělit jim hotspot profil, který se nikdy nevyčerpá.