Cómo usar Cicso IOS para bloquear un sitio web específico: pasos
Paso 1: Configurar un servidor DNS
Supongamos que queremos bloquear un sitio web llamado. No conocemos la dirección IP específica de este sitio web y no queremos saberla. No hay problema: Cisco IOS encontrará la dirección y la completará por sí solo.
Para ello necesitamos configurar al menos un servidor DNS en el router. Si desea configurar un servidor DNS, debe utilizar el comando ip name-server. El siguiente es un ejemplo:
Router(config)# ip name-server 1.1.1.1 2.2.2.2
En este ejemplo, configuramos un servidor DNS primario 1.1.1.1 y un servidor DNS de respaldo 2.2.2.2 para que el enrutador pueda resolver nombres de dominio. Esto no afectará el tráfico al enrutador. Cuando necesitemos hacer ping a un determinado nombre de dominio, el enrutador utilizará estos servidores DNS. El siguiente es un ejemplo específico:
Router# ping www.techrepublic.com
Traduciendo "www.techrepublic.com"...servidor de dominio (1.1.1.1) [OK]
p>
Escriba la secuencia de escape para cancelar
Envío de 5 ecos ICMP de 100 bytes al 216.239.113.101, el tiempo de espera es de 2 segundos:
!!!!! p>
La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min/avg/max = 1/1/4 ms
Enrutador#
En el ejemplo anterior, el enrutador utiliza la dirección del servidor de nombres de dominio que especificamos (1.1.1.1) para intentar resolver el nombre de dominio. Resuelve con éxito el nombre de dominio www.techrepublic.com al .IP correspondiente: 216.239.113.101.
Si no hemos especificado un servidor DNS, es probable que el enrutador devuelva la siguiente respuesta:
Traduciendo "www.techrepublic.com"...servidor de dominio (255.255.255.255 )
% Host o dirección no reconocidos, o protocolo que no se está ejecutando
(Es posible que el host o dirección no reconocidos o el protocolo no se estén ejecutando)
Paso 2: Establecer. ACL
Para bloquear realmente el acceso a un sitio web, debemos crear una lista de control de acceso (ACL) para definir específicamente lo que queremos bloquear. El siguiente es un ejemplo:
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www
Traduciendo "www.badsite.com".. Servidor .domain (1.1.1.1) [OK]
Router(config)# lista de acceso 101 permite tcp any any eq www
para permitir todo el resto del tráfico web
Esta ACL niega todo acceso al sitio web específico www.badsite.com. Si bien bloquea el acceso a ese sitio web, permite que todos accedan a cualquier otro sitio web.
Finalmente, debido a la prohibición implícita de la ACL, todas las demás comunicaciones excepto WWW estarán prohibidas.
Si desea saber qué direcciones IP están intentando acceder a sitios web bloqueados, puede registrar información relevante utilizando la palabra clave LOG. He aquí un ejemplo.
Router(config)# lista de acceso 101 denegar tcp cualquier host www.badsite.com eq www log
Paso 3: evitar "omisiones"
Sí Una cosa a tener en cuenta. Después de ingresar la primera línea de la ACL anterior, observe cómo el enrutador usa un servidor DNS para resolver el nombre de dominio. Luego reemplaza el nombre de host en la ACL con la dirección IP obtenida al resolver el nombre de dominio. Echemos un vistazo más de cerca a la configuración:
Router# sh run | inc access-list 101
access-list 101 deny tcp any host 66.116.109.62 eq www
Esta es una característica interesante, pero puede causar problemas por varias razones. Primero, la IP es simplemente la primera IP a la que responde el servidor DNS. Si se trata de un sitio web grande con varios servidores (como un motor de búsqueda) y la ACL solo contiene la primera IP a la que responde DNS primero, tendrá que bloquear manualmente el resto de las direcciones IP. A continuación se muestra un ejemplo:
C:> nslookup www.google.com
Servidor: DNSSERVER
Dirección: 1.1.1.1
Respuesta no autorizada:
Nombre: www.l.google.com
Direcciones: 64.233.167.104, 64.233.167.147, 64.233.167.99
Alias: www .google.com
En segundo lugar, si el servidor web prohibido cambia su dirección IP, la dirección en la ACL no cambiará en consecuencia. Debe actualizar manualmente la ACL.
Paso 4: Aplicar la ACL
El hecho de que se cree la ACL no significa que el enrutador la esté usando; también debemos aplicar la ACL. A continuación, supongamos que queremos establecer una ACL para evitar que la LAN interna acceda a la WAN externa (como Internet). Por lo tanto, deberíamos utilizar el filtrado de direcciones de origen ACL en lugar del filtrado de direcciones de destino.
De manera similar, según fines de diseño, debemos implementar esta ACL en la dirección de salida del enrutador. A continuación se muestran ejemplos.
Enrutador(config)# int serial 0/0
Enrutador(config-if)# ip access-group 101 out