Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 00:02



Ответить на тему  [ Сообщений: 5 ] 
URL Filtering, ZBFW 
Автор Сообщение

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Либо я чего-то не понимаю, либо ...
Есть роутер с ZBFW, 2 зоны: INSIDE, OUTSIDE. Между ними настраиваю url-filtering таким образом:
Код:
parameter-map type urlf-glob BAD-URL
 pattern cisco
class-map type urlfilter match-any CLASS_URL-FILTER
 match  url-keyword urlf-glob BAD-URL
class-map type inspect match-all CLASS_IN-TO-OUT
 match access-group name ACL_IN-TO-OUT
 match protocol http
policy-map type inspect urlfilter POLICY_URL-FILTER
 class type urlfilter CLASS_URL-FILTER
  log
  allow
policy-map type inspect POLICY_IN-TO-OUT
 class type inspect CLASS_IN-TO-OUT
  inspect
  service-policy urlfilter POLICY_URL-FILTER
 class class-default
  drop log
zone-pair security ZONEP_IN-TO-OUT source INSIDE destination OUTSIDE
 service-policy type inspect POLICY_IN-TO-OUT

В итоге, для любых http-запросов получаю
Код:
URLF:Sent Deny page with FIN to client and RST to server

Где косяк?


11 апр 2012, 13:21
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Как-то так работает:
Код:
parameter-map type urlf-glob URL_GAMBLING
 pattern cisco
parameter-map type urlf-glob PERMIT_SITES
 pattern *
!
class-map type urlfilter match-any CLASS_BLOCK-SITES
 match  server-domain urlf-glob URL_GAMBLING
class-map type urlfilter match-any CLASS_PERMIT-SITES
 match  server-domain urlf-glob PERMIT_SITES
!
class-map type inspect match-all CLASS_IN-TO-OUT
 match access-group name ACL_IN-TO-OUT
 match protocol http
!
policy-map type inspect urlfilter POLICY_URL-FILTER
 parameter type urlfpolicy local URLFilter
 class type urlfilter CLASS_BLOCK-SITES
  reset
 class type urlfilter CLASS_PERMIT-SITES
  allow
!
policy-map type inspect POLICY_IN-TO-OUT
 class type inspect CLASS_IN-TO-OUT
  inspect
  service-policy urlfilter POLICY_URL-FILTER
 class class-default
  drop
!
zone-pair security ZONEP_IN-TO-OUT source INSIDE destination OUTSIDE
 service-policy type inspect POLICY_IN-TO-OUT


11 апр 2012, 22:29
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
Может стоит попробовать в patern .* поставить ?


12 апр 2012, 11:39
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Илья, я написал же 2ым сообщением рабочий конфиг :)


12 апр 2012, 12:41
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
Не заметил, но вообще если там регулярное выражение нужно указывать то правильно писать так как написал я :)


12 апр 2012, 14:07
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB