classic.ISPforum.cz

Ahoj, potřeboval bych poradit s následujícím:
Blokuju některé www stránky určitým IP adresám které mám v address listu přes Layer7, vše funguje jak má, teď bych ale potřeboval udělat blokování opačně: povolit pouze některé www a vše ostatní zakázat a to se mi nedaří. Když zkusím v L7 napsat co chci povolit a v pravidle dát action accept a jako další pravidlo drop pro daný address list tak nejde nic.
Díky za rady.

zkouším:

Protože tím určitě nefiltruješ uplně všechno, co je pro zobrazení stránky potřeba. Schválně si nastav pravidlo na nějakou konkrétní stránku, kde znáš IP a pod to si udělej filtr na vzálenou IP vs tvoji IP a porovnej countery. Jinak ... povolit pouze vyjmenované stránky uděláš asi nejlíp pomocí HotSpotu.

a) proč povoluješ podle IP a zároveň dle L7?
b) pokud za tím pravidlem máš zákaz (drop, reject, to je fuk), vše bude zakázáno - neboť v prvním paketu ten string dle L7 nenajdeš, ten je až v tom druhém (nebo třetím). Zakážeš mu navázání konexe.

Jak na to mě teď zrovna nepadá ... ale jediná cesta je asi přes connmark.

a) protože nevím jak jinak to omezení/povolení aplikovat na určitou skupinu IP adres.
Jde to vůbec i jinak?
b) to zní logicky, ale proč tedy funguje spolehlivě blokování?

a) ty se snažíš ale provozovat L7 v rámci cílových adres. Když už, tak bych řekl, že by tam měl být src-address-list

U blokování je to v pohodě. Ho sice necháš navázat TCP spojení, ale sekneš mu HTTP. A pokud to uděláš rejectem, klient ani nečeká na timeout.

Abych pravdu řekl, tohle bych opravdu tímto stylem nedělal. To snad ani nejde udělat spolehlivě. A pokud, tak děsně pracně ... Zkus ten hotspot, ten je na takovéto věci stavěný.

Nakonec jsem to asi moc "hrotil" ty stránky co potřebuju povolit jsem zkusil dát do FW dle jejich IP adres, vše ostatní drop a funguje to bez problémů.
Díky všem.

Nebezpečné ... IP adresy se mohou změnit.

Pro tyto účely byla vymyšlena Proxy. Ta DNS (resp. celému HTTP) rozumí. A je součástí i toho hotspotu ...

Ano mohou, ale v tomto konkrétním případě to nevadí. Důležitý je blok internetu, to že by chvíli nešly povolené stránky nevadí.
Jde udělat aby čás stejného subnetu jela přes hotspot a část "normálně"?

Tak teď jsi mě dostal ... zatím jsem neměl potřebu dělat nic jiného, než bypass dle MAC.

jasně, že jde. prostě si to nastavíš v pravidlech při tom zalkádání hotspotu a ty IP si nějak rozdělíš. (zkupina IP, DHCP, rozsah - od/do .... )
Jednodušší ale možná je udělat hotspot na vše a vzít konkrétní IP (resp. MAC )a přidělit jim hotspot profil, který se nikdy nevyčerpá.