Заблокируем доступ Одноклассники и Вконтакте. Блокировать будем на нашем внутреннем интерфейсе Vlan100
vpn#conf t vpn(config)#class-map match-any blocked-content vpn(config-cmap)#match protocol http host "*vk*" vpn(config-cmap)#match protocol http host "*odnoklassniki*" vpn(config-cmap)#policy-map policy-blocked-content vpn(config-pmap)#class blocked-content vpn(config-pmap-c)#drop vpn(config)#interface vlan 100 vpn(config-if)#ip nbar protocol-discovery vpn(config-if)#service-policy input policy-blocked-content
Проверяем:
vpn#sh policy-map interface vlan 100 input
это всё хорошо но вот youtube уже https. а как заблочить его ?
Как вариант попробовать
class-map match-any blocked-content
match protocol http server «https://*youtube*
А ещё такой вопрос, как бы так сделать чтоб данный фильтр обходили скажем VIP клиенты из определённой ACL
И вот ещё что, при просмотре различных страничек с этим фильтром возникают тормоза ибо на них есть всякие кнопки из соц сетей , а возможно не делать DROP а услать скажем либо локальный URL со страничкой access denied или просто текст access denied ? Простите меня ламера за такие вопросы я только начинаю работать с циской ) без всяких курсов итд приходится сразу в бой. Ибо циски поставили в срочном порядке вместо умершего dlink шлюза.
Артем, отпишитесь мне в icq либо на почту, попробуем решить вашу проблему….
строка №5 не прописывается.
policy-map необходимо где то заранее включать?
Добрый день
Спасибо за инструкцию, очень полезна
А как сделать так, что бы не блокировались сайты для какого-то конкретного ip, например компьютер босса?
Правильнее вынести диапазон в отдельный vlan и на уровне этого vlan не фильтровать…
Хотя… Можно попробовать объявить 2-й class-map с параметрами match source-addr 192.168.0.55 255.255.255.0 где 0.55 ip директора
ну и в policy-map
class url-boss
permit