如何使用Cisco命令阻止访问特定网站

最新推荐文章于 2023-12-26 09:27:23 发布
最新推荐文章于 2023-12-26 09:27:23 发布
阅读量438 收藏
点赞数
分类专栏: Cisco HaiWei fairwall 文章标签: cisco dns服务器 路由器 server 服务器 tcp

ACL阻止访问特定网站


如何使用Cisco命令阻止访问特定网站


==============================

步骤1:配置一个DNS服务器
假设我们打算屏蔽一个名为www.badsite.com的网站。我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题——Cisco IOS会自己 把地址找出来并填上它。
要做到这一点,我们需要至少在路由器上配置一台DNS服务器。若想配置一台DNS服务器,应使用ip name-server命令。下面是个例子:
Router(config)# ip name-server 1.1.1.1 2.2.2.2
本例中,我们配置了一个主DNS服务器1.1.1.1,以及一个备用DNS服务器2.2.2.2,以便路由器对域名进行解析。这不会影响路由器的任何流量 。当我们需要对某个域名进行Ping服务时,路由器将使用这些DNS服务器。以下是具体示例:
Router# ping www.techrepublic.com
Translating "www.techrepublic.com"...domain server (1.1.1.1) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Router#
在上述例子中,路由器使用了我们指定的域名服务器地址(1.1.1.1)来尝试解析域名。它成功的将域名www.techrepublic.com解析为对应的IP ——216.239.113.101。
如果我们不曾指定DNS服务器,那么路由器很可能会返回下述这些反馈:
Translating "www.techrepublic.com"...domain server (255.255.255.255)
% Unrecognized host or address, or protocol not running.
(不认识的主机或地址,或可能协议未运行)
步骤2:建立ACL
想真正阻止访问某个网站,我们必须建立一个存取控制列表(access control list,简称ACL)来具体定义我们想阻止什么。下面是个例子:
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www
Translating "www.badsite.com"...domain server (1.1.1.1) [OK]
Router(config)# access-list 101 permit tcp any any eq www
! to allow all other web traffic
这个ACL拒绝了所有对特定网站www.badsite.com的访问。在阻止访问该网站的同时,它允许所有人访问其他任意网站。
最后,由于ACL的隐含禁止,除WWW外所有的其他通信将全部被禁止。
如果您想知道到底是哪些IP地址在试图访问被阻止的网站,可以通过使用LOG关键字,记录相关信息。下面是个例子。
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www log
步骤3:避免“遗漏”
有一点需要注意。在我们输入了上述ACL的第一行之后,留意路由器是如何使用DNS服务器来解析域名的。然后它会用解析域名所得的IP地址替 换掉ACL中的主机名。我们来仔细看看配置:
Router# sh run | inc access-list 101
access-list 101 deny tcp any host 66.116.109.62 eq www
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该IP仅仅是DNS服务器响应的第一个IP。如果这是个大型网站,有多台服务器 (比如一个搜索引擎),而ACL却仅仅包含了DNS首先响应的第一个IP——您将不得不手工屏蔽其余的IP地址。下面是个示例:
C:/> nslookup www.google.com
Server: DNSSERVER
Address: 1.1.1.1
Non-authoritative answer:
Name: www.l.google.com
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99
Aliases: www.google.com
其次,如果被禁止的网页服务器更改了IP地址,ACL中的地址并不会跟随变化。您必须对ACL进行人为更新。
步骤4:实施ACL
仅仅创建了ACL并不意味着路由器就用上了它——我们还必须对ACL进行实施。下面,假设我们要建立一个ACL,以阻止内部局域网访问外部的广 域网(比如Internet)。因此我们应当用ACL的源地址过滤,而不是目标地址的过滤。
同样,基于设计的目的,我们需要在路由器的Out方向实施这个ACL。下面是示例。
Router(config)# int serial 0/0
Router(config-if)# ip access-group 101 out
 

xjb_netboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
haproxy利用ACL规则封禁自定义IP地址拒绝访问
weixin_34272308的博客
12-19 876
现在有一个需求就是在发版的时候希望除公司IP外的外网访问服务的时候都是拒绝访问的 现在利用haproxy 的acl规则作出限制 errorfile       403 /etc/haproxy/errfile/403.httpacl url_bao hdr(Host) -i bao....
【网络】ACL应用,权限设置,限定访问黑白名单
liu_xueyin的博客
10-21 633
③指定拒绝192.168.10.0/24的所有奇数网段,在第②题的基础上继续,奇数的特点就是第32位一定是1,也就是第32位固定不变,对应的通配符掩码是0.0.0.11111110,转化为点分十进制为0.0.0.254,通配符掩码也是要跟ip地址结合用,②指定192.168.10.0/24这个网段,这是标准的c类网段,也就是前24位不变,后8位任意,那就是0.0.0.11111111,转化为点分十进制为0.0.0.255。④一般基础acl配置在流量出口,高级acl配置在流量的入口,为了节省路由器的资源。
华为——使用ACL限制内网主机访问外网网站示例
最新发布
专研计算机网络,数据通信,网络安全,系统集成
12-26 2281
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
CISCO ACL拒绝WWW
weixin_33805557的博客
05-12 672
模拟实验环境:在CISCO路由器上 允许一个网段在某一个时间段访问WEB服务! ACL怎样写 转载于:https://blog.51cto.com/2971450/564445
如何通过设定禁止访问某些特定网站
zyx_hawk的专栏
07-19 3750
Hosts文件就可帮我们实现这一设想。以Win98系统为例,Hosts文件位于“C:/Windows”目录下(XP在C:/WINDOWS/system32/drivers/etc),它可以看成本机的一个DNS系统,且它的优先级要高于网络中的DNS服务器。我们可以用记事本打开它,你会看到里面有Hosts文件的使用说明。举个例子,我们可以写入下面的一行: 127.0.0.1 www.test.co
Cisco路由器命令禁止访问特定网站的四个设置步骤
10-01
Cisco路由器命令禁止访问特定网站】 在Cisco网络设备中,通过配置访问控制列表(Access Control List,ACL)可以实现对特定网站访问限制。以下是一个详细的步骤指南,演示如何使用Cisco IOS来禁止路由器访问...
思科Cisco路由器access-list访问控制列表命令详解
10-01
Cisco路由器中,访问控制列表(access-list,ACL)是一种强大的工具,用于管理网络流量,通过对数据包进行筛选,允许或拒绝特定类型的通信。访问列表分为两种主要类型:标准访问列表和扩展访问列表。 标准访问...
思科Cisco路由器access-list访问控制列表命令详解.docx
10-25
Cisco访问列表中,用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用"host"关键字。例如,为了让来自IP地址为192.46.27.7的数据包通过,您可以使用下列语句: Access-list 1 permit host 192...
Cisco命令手册.pdf
10-08
19. **Deny**:在访问控制列表中设置拒绝规则,阻止特定的流量。 20. **Encapsulation**:定义各种封装协议,如帧中继、PPP等,以适应不同的网络传输需求。 21. **Exit**:退出当前配置模式或关闭会话,完成操作。...
ACL对内网某一特定网段对外网的访问控制使用以及ACL访问控制应用PAT端口转换以后的ping包流程。
忆林的博客
11-03 1025
这边简单的对以下两个问题说说自己的理解;其一: 对于acl对内网某一特定网段对于外网的访问控制目前我是想了以下两种方法: 其实主要应用的场景是对于两个路由器的,示意图如下: 因为外部走内部的时候ping的是内网IP,而内网的多个IP已经映射为一个对外的端口IP,这个时候由于外网路由是没有配置默认路由的所以我们是学习不到内部的ip地址的,这样的实现都是为了安全考虑。 如果要实现的话也可以就是需要对特定的内网网段做一个默认路由打到内网路由,这样的话,这个数据请求包才会送到内网路由上
ACL 限制访问
qq_51574973的博客
02-11 4471
ACL 筛选数据
ACL限制网络访问技术的一个简单例子
IABQL的博客
07-12 2209
需求:PC1不可以访问192.168.2.1,但可以访问其他ip地址 要在ar1中就对PC1的访问进行控制,所以在AR1中创建ACL表 1.先将各个接口按上图配置好ip 测试:PC1 ping 192.168.2.1,能成功连接 2.在AR1中添加ACL表 创建表 acl 3000(序号为3000的表) 表中添加规则(即控制某些ip是否可以访问某些ip) rule deny(拒绝连接) ip source 源ip 0.0.0.0(0代表ip相应位不可变,1代...
三层交换机不同网段vlan透传
bienyou的博客
11-11 5474
配置过程: 交换机1: [Huawei]vlan batch 10 20 [Huawei-vlan20]q [Huawei]interface Vlanif 20 [Huawei-Vlanif20]ip address 192.168.1.1 24 [Huawei]interface GigabitEthernet 0/0/2 [Huawei-GigabitEthernet0/0/2]port ...
思科CISCO ACL配置详解
热门推荐
weixin_64312503的博客
07-25 2万+
思科ACL控制访问列表详细信息
标准与扩展ACL 、 命名ACL 、 总结和答疑
weixin_33709590的博客
05-14 1218
1 配置标准ACL1.1 问题络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。1)配置标准ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server P的浏览器访问1.2 方案访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用访问。它是保证网络安全最重要的...
acl拒绝网段访问dns_ACL阻止访问特定网站
weixin_39640911的博客
12-19 4557
ACL阻止访问特定网站如何使用Cisco命令阻止访问特定网站==============================步骤1:配置一个DNS服务器假设我们打算屏蔽一个名为www.badsite.com的网站。我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题——Cisco IOS会自己 把地址找出来并填上它。要做到这一点,我们需要至少在路由器上配置一台DNS服务器。若想配置一台DNS服...
ACL基础配置
qq_54521398的博客
07-15 2089
ACL简单配置
AC---上网行为管理
小翟的博客
10-13 1万+
AC小白必学

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值