nettips.ru

Подключение cisco 800 к интернету byfly по PPPoE часть 3 Родительский контроль

На главную Cisco Systems VoIP Arduino маршрутизатор Беларусь Android Asterisk Умный сетевой хаос дом коммутатор Nateks Alcatel MTS Velcom Python Gigaset ZTE Grandstream Huawei админы шутят о сайте Zelax Allied Telesis D-Link Штрихкоды HP
Телефонные номера доступа sip операторов VitebskPets - инфопомощь животным в Витебске Телефонные коды городов и стран мира.

Рейтинг статьи: 1.857/5 Рейтинг 1.86 из 5Рейтинг 1.86 из 5Рейтинг 1.86 из 5Рейтинг 1.86 из 5Рейтинг 1.86 из 5 (7 голосов).

У многих дети "зависают" в социальных сетях и игровых сайтах, скачивают ПО, иногда и с вирусами. маршрутизатор Cisco позволяет очень облегчить жизнь родителей, если применить правильный подход.

Спонсор этой страницы:

Продолжаем настройке маршрутизатора cisco 831.
Предыдущие статьи:
Подключение cisco 800 к интернету byfly по PPPoE .
Подключение cisco 800 к интернету byfly по PPPoE часть 2 QOS.

Все настройки приведены для IOS c831-k9o3sy6-mz.124-5a.bin

Описание пожеланий.

Частенько дети зависают на игровых серверах и социальных сетях. А иногда еще попадают на порно-сайты.
Маршрутизатор cisco позволяет создавать листы доступа, с указанием времени действия. Но эти листы привязаны к IP адресам.
Нас же интересует блокирование доступа по имени сайта или по маске.
Блокировать по имени мы можем двумя способами:

  • Полное блокирование с помощью ip inspect и ip urlfilter.
  • Описание нежелательных сайтов в class-map с дальнейшей привязкой ко времени или к устройству (компьютеру, планшету и т.д).

Полное блокирование сайтов по имени

В данном примере попытаемся заблокировать сайты сексуального содержания.

ip inspect name URLS http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny porno
ip urlfilter exclusive-domain deny .xxx
ip urlfilter audit-trail

interface E0
   ip inspect URLS in

Соответственно в ip urlfilter exclusive-domain deny можно добавлять и vk.com и другие сайты, на которые вы хотите закрыть доступ.

Минус в том, что:

  • К заблокированному сайту можно получить доступ по IP адресу.
  • Блокируются все домены, указанные в ip urlfilter для всех и на все время. Для снятия блокировки приходится править конфигурацию.

Блокирование сайтов и ресурсов по маске

Блокирование осуществляется созданием соответствующих классов.

При создании классов используются метки
match-any - должно выполняется любое из правил.
match-all - должны выполняется все правила.

Для примера создаем правила для социальных сетей и youtube.

class-map match-any Social
   match protocol http host "vk.com"
   match protocol http host "odnoklassniki.ru"
   match protocol http host "vkontakte.ru"
   match protocol http host "facebook.com"
   match protocol http host "youtube.com"

Описываем время, когда можно заходить на данные сайты. Например 2 часа вечером и выходные.

time-range open_social
   periodic weekdays 00:00 to 18:59
   periodic weekdays 21:00 to 23:59

Далее создаем листы доступа, где указываем IP адреса блокируемых устройств с указанием времени блокирования.

access-list 120 perm ip host 192.168.2.25 any time-range open_social

Теперь создаем класс, где указываем, что должны выполнятся оба условия.

class-map match-all deny_Social
   match class-map Social
   match access-group 120

Также создаем запрет на скачивание исполняемых модулей и архивов.

class-map match-any Software
   match protocol http url "*.exe"
   match protocol http url "*.rar"
   match protocol http url "*.zip"
   match protocol http url "*.arj"

Создаем список, кому запрещено качать софт.
Так как закачку я не привязываю ко времени, то можно использовать простой лист (номера от 1 до 99)

access-list 20 perm ip host 192.168.2.25

Теперь создаем класс, где указываем, что долны выполнятся оба условия.

class-map match-all deny_Software
   match class-map Software
   match access-group 20

Теперь создаем policy-map для контроля запросов.

policy-map parent_control
   class deny_Software
     drop
   class deny_Social
     drop

И подключаем его на интерфейс локальной сети E0

interface E0
   service-policy output parent_control

а при необходимости и на E1

interface E1
   service-policy output parent_control

Так как в этом примере мы заблокировали доступ к социальным сетям только с одного IP адреса, то клиенту ничего не стоит его поменять и получить доступ.

Для этого необходимо либо блокировать локальную сеть целиком, исключив конкретные компьютеры, и сделать привязку IP адреса к MAC адресу.

arp 192.168.2.25 0040.ef01.1111 arpa

И заодно прописать его на DHCP сервере Cisco

ip dhcp pool Children1
   host 192.168.2.25 255.255.255.0
   hardware-address 0040.ef01.1111

Таким образом с хоста 192.168.2.25 будет открыт доступ на перечисленные сайты сайты в рабочие дни с 19 до 21 и выходные, а возможность скачивать архивы и exe-шники вообще отсутствует.

Выводы по возможностям cisco

В match protocol http возможно описывать не только домены но и многое другое. Посмотрев адреса сайтов навязчивой рекламы можно ее заблокировать сразу на уровне маршрутизатора.

При необходимости можно не только запрещать сайты, но и наоборот, выделять им полосу пропускания или ограничивать скорость.

В данной статье я не ставил цель найти все сайты, которые желательно блокировать, но периодически заглядывая в историю посещений можно много чего найти. В общем настраивайте, экспериментируйте и да будут защищены ваши родные.

Предлагайте идеи, которые я попытаюсь реализовать.
По мере реализации идей будут написаны статьи.

Cisco Systems модем коммутатор маршрутизатор Web

Пожалуйста, оцените и ВЫ эту статью:

Комментарии к статье:

  • 2014-06-23 01:22:40, Гость :

    Описываем время, когда можно заходить на данные сайты. Например 2 часа вечером и выходные.

    time-range open_social
    periodic weekdays 00:00 to 18:59
    periodic weekdays 21:00 to 23:59
    А где здесь 2 часа???
    Выходные - наверное, weekend ;-)

    • 2014-06-24 02:49:01, 123 :

      Указывается время блокировки.
      рабочие дни с 0:00 до 18:59
      рабочие дни с 21:00 до 23:59
      в остальное время доступ разрешен.
      а вообще мощно использовать и weekend (выходные) и daily (все дни) и конкретно дни недели Monday, Saturday и т.д.

  • 2014-08-07 16:16:21, Гость :

    Я бы еще добавил

    ip urlfilter exclusive-domain deny .selectornews.com
    ip urlfilter exclusive-domain deny .traffim.com
    ip urlfilter exclusive-domain deny .sn00.net

    Предлагаю собрать список всякого шлака, и периодически его обновлять.

  • 2016-11-07 00:22:48, Сергей :

    А у меня не работает.
    Я блокировал сайты для листа 1, задавал его так:
    access-list 1 permit 192.199.299.0 0.0.0.255
    Но у меня этот же лист используется для выхода в интернет вот так:
    ip nat inside source list 1 int fa4 overload
    И в конфигурации лист описан ниже, после того как описаны все эти классы.
    В чём ошибка?
    Почему не работает?

  • 2016-11-07 14:53:54, Гость :

    Последний вариант не блокирует https.
    А первый вариант как можно повесить на внутренний локальный порт? У меня не вешается.

    • 2016-11-09 02:34:12, 123 :

      Увы да. https не блокирует.
      По поводу портов.
      лист можно вешать только на маршрутизируемый порт. (тот, на котором прописан IP адрес)

      На cisco 831 листы, конструкции NAT можно вешать только на E0 и E1.
      порты F1-F4 это порты внутреннего коммутатора.


Ваши отзывы и предложения по работе сайта направляйте на форму обратной связи.

Яндекс.Метрика