Red de conocimiento informático - Material del sitio web - Cómo usar Cicso IOS para bloquear un sitio web específico: pasos

Cómo usar Cicso IOS para bloquear un sitio web específico: pasos

Paso 1: Configurar un servidor DNS

Supongamos que queremos bloquear un sitio web llamado. No conocemos la dirección IP específica de este sitio web y no queremos saberla. No hay problema: Cisco IOS encontrará la dirección y la completará por sí solo.

Para ello necesitamos configurar al menos un servidor DNS en el router. Si desea configurar un servidor DNS, debe utilizar el comando ip name-server. El siguiente es un ejemplo:

Router(config)# ip name-server 1.1.1.1 2.2.2.2

En este ejemplo, configuramos un servidor DNS primario 1.1.1.1 y un servidor DNS de respaldo 2.2.2.2 para que el enrutador pueda resolver nombres de dominio. Esto no afectará el tráfico al enrutador. Cuando necesitemos hacer ping a un determinado nombre de dominio, el enrutador utilizará estos servidores DNS. El siguiente es un ejemplo específico:

Router# ping www.techrepublic.com

Traduciendo "www.techrepublic.com"...servidor de dominio (1.1.1.1) [OK]

p>

Escriba la secuencia de escape para cancelar

Envío de 5 ecos ICMP de 100 bytes al 216.239.113.101, el tiempo de espera es de 2 segundos:

!!!!!

La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min/avg/max = 1/1/4 ms

Enrutador#

En el ejemplo anterior, el enrutador utiliza la dirección del servidor de nombres de dominio que especificamos (1.1.1.1) para intentar resolver el nombre de dominio. Resuelve con éxito el nombre de dominio www.techrepublic.com al .IP correspondiente: 216.239.113.101.

Si no hemos especificado un servidor DNS, es probable que el enrutador devuelva la siguiente respuesta:

Traduciendo "www.techrepublic.com"...servidor de dominio (255.255.255.255 )

% Host o dirección no reconocidos, o protocolo que no se está ejecutando

(Es posible que el host o dirección no reconocidos o el protocolo no se estén ejecutando)

Paso 2: Establecer. ACL

Para bloquear realmente el acceso a un sitio web, debemos crear una lista de control de acceso (ACL) para definir específicamente lo que queremos bloquear. El siguiente es un ejemplo:

Router(config)# access-list 101 deny tcp any host www.badsite.com eq www

Traduciendo "www.badsite.com".. Servidor .domain (1.1.1.1) [OK]

Router(config)# lista de acceso 101 permite tcp any any eq www

para permitir todo el resto del tráfico web

Esta ACL niega todo acceso al sitio web específico www.badsite.com. Si bien bloquea el acceso a ese sitio web, permite que todos accedan a cualquier otro sitio web.

Finalmente, debido a la prohibición implícita de la ACL, todas las demás comunicaciones excepto WWW estarán prohibidas.

Si desea saber qué direcciones IP están intentando acceder a sitios web bloqueados, puede registrar información relevante utilizando la palabra clave LOG. He aquí un ejemplo.

Router(config)# lista de acceso 101 denegar tcp cualquier host www.badsite.com eq www log

Paso 3: evitar "omisiones"

Sí Una cosa a tener en cuenta. Después de ingresar la primera línea de la ACL anterior, observe cómo el enrutador usa un servidor DNS para resolver el nombre de dominio. Luego reemplaza el nombre de host en la ACL con la dirección IP obtenida al resolver el nombre de dominio. Echemos un vistazo más de cerca a la configuración:

Router# sh run | inc access-list 101

access-list 101 deny tcp any host 66.116.109.62 eq www

Esta es una característica interesante, pero puede causar problemas por varias razones. Primero, la IP es simplemente la primera IP a la que responde el servidor DNS. Si se trata de un sitio web grande con varios servidores (como un motor de búsqueda) y la ACL solo contiene la primera IP a la que responde DNS primero, tendrá que bloquear manualmente el resto de las direcciones IP. A continuación se muestra un ejemplo:

C:> nslookup www.google.com

Servidor: DNSSERVER

Dirección: 1.1.1.1

Respuesta no autorizada:

Nombre: www.l.google.com

Direcciones: 64.233.167.104, 64.233.167.147, 64.233.167.99

Alias: www .google.com

En segundo lugar, si el servidor web prohibido cambia su dirección IP, la dirección en la ACL no cambiará en consecuencia. Debe actualizar manualmente la ACL.

Paso 4: Aplicar la ACL

El hecho de que se cree la ACL no significa que el enrutador la esté usando; también debemos aplicar la ACL. A continuación, supongamos que queremos establecer una ACL para evitar que la LAN interna acceda a la WAN externa (como Internet). Por lo tanto, deberíamos utilizar el filtrado de direcciones de origen ACL en lugar del filtrado de direcciones de destino.

De manera similar, según fines de diseño, debemos implementar esta ACL en la dirección de salida del enrutador. A continuación se muestran ejemplos.

Enrutador(config)# int serial 0/0

Enrutador(config-if)# ip access-group 101 out