السلام عليكم ورحمة الله وبركاته

لدي رواتر من نوع 2600 وعايز اعمل اكسس ليس لمنع موقع النت مثلا موقع الفيس بوك

عملت اكسس ليست بالشكل التالي


access-list 100 deny tcp 192.168.0.0 0.0.0.255 host 69.63.189.11 eq 80
access-list 100 permit ip any any

ولكن كما تعرفون ان مثل سيرفرات الفيس بوك
لديها اكثر من ip للوصل الى السيرفرات ( اي تعدد المسارات ردندت) وبالتالي لازم تكتب جميع ايبيات الفيس بوك
فكيف يتم حل مثل ذلك حتى نمنع الموقع حتى لو كان له 100 ايبي ؟؟

علما ان في رواتر المايكروتك يمكن منع اي موقع بسهولة وذلك كتابة فقط اسم الموقع مثل www.google.com
وهو يقوم بمنع الموقع حتى لو كان يحتوي اكثر من 100 ايبي للوصل الى قوقل

شكرا جزيلاً

بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

م**** الأكسس ليست علي راوترات سيسكو لمنع مواقع إنترنت معينة تم مناقشتها مراراً وتكرارً والنتيجة النهائية التي وصلنا إليها أن منع مواقع معينة عن طريق هذا الإسلوب



فاشل


فاشل


فاشل


ليه؟
لأن انت لو منعت جميع أيبيهات الموقع http مازال الhttps مفتوح، ولو منعت هذا الموقع http,https ما زالت مواقع البروكسي مفتوحة وديه بقي أكثر من أن يحصي لدرجة إن فيه شركات معينة بتعمل برامج قفل البروكسي مقعدة ناس بتتابع مواقع البروكسي الجديدة اللي كل يوم فيها جديد والله أعلم، ولو قفلت جميع مواقع البروكسي، فيه برامج بقي علشان تفتح البروكسي وبرضواع لازم يكون عندك ليست طويل عريض بأسماء البرامج وأرقارم البورتات اللي بتستخدمها والمشكلة إن البورتات ديه مش ثابتة، ولو قفلت جميع برامج البروكسي ومواقع البروكسي تبقي المشكلة العويصة الtor وده مش شركات بتفشل إن هية تقفله لأ دول بتفضل إن هية تقفل الtor ولو قفلت التور "بس لازم تكون رئيس وزراء ساعتها" فيه الbridges اللي هية كمبيوترات علي مستوي العالم بيعملها ناس متطوعين بيفتحوا أجهزتهم 24 ساعة للي عايز يخش من عندهم علي الtor ومن الtor تفتح المواقع ديه
طيب إيه الحل؟؟؟؟؟

الحل في رأي والبعض قد يراه حل غير مناسب، إنك تفتح المواقع الضروية فقط في العمل وتقفل الباقي كله، والله أعلي وأعلم

ولا تنسني والمسلمين من صالح الدعاء
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين

ايييه الحلاوة ديه يا راجل داخل عليه جامد ليه :( هههههههه

الناس الي موجودين في الشغل هم ناس على مستوى ضعيف جدا جدا
بحيث لا يعرفو ان يكتبو اسماءهم في الانجليزية :D
وايضا لا يعرفو بروتوكول ال https
يعني ممكن اي شي تقفله ينتهي وخلاص ... لا يوجد شخص يحاول ان يستعمل هكذا اساليب لكي يقوم بفتح الموقع

شكرا جزيلا على الايضاح الاكثر من رائع

بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

جزاك الله خيراً أخي الكريم، أنا قولت اجيبلك الخلاصة، ههههههههههه

في الحالة ديه أنفع حل إنك تستخدم الisa وفيه برامج مساعدة بتجيبلك أسماء مواقع البروكسيات لأن البروكسيات حل سهل وسريع نوعاً ما

ربنا يوفقك

ولا تنسني والمسلمين من صالح الدعاء
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين

اشكرك مره ثانية لا انا فقط كنت اهز معااك
ولكن مع الاسف لا يوجد سيرفر ISA لدينا
لكن تعال لنفعل شي وهو اضعف الايمان ولكن مفيد وبيمنع اكيد
وتم تجربته وفعال جدا

اليك الشرح البسيط
نبدا اولا

الموقع الذي نريد ان نمنعه مثلا نفرض موقع فيس بوك www.facebook.com

ندخل على الراوتر لاززم نعرف للراوتر اال dns لان سوف نمنع عن طريق استعمال الdns
نفرض ان الdns هو 192.168.137.1

Router(config)# ip name-server 192.168.1.137.1بعدها نقوم بعمل الاكسس ليست


Router(config)# access-list 101 deny tcp any host www.facebook.com eq 80

Router(config)# access-list 101 permit ip any any


بعدها نطبق الاكسس على الانترفيس وكدا استطعنا منع الموقع بدون معرفة الايبي للموقع

ولو تحب معرفة الايبيات الخاصة بالسيرفرات لأي موقع معين تسطيع وذلك باستخدام الامر nslookup
اذهب ل cmd الدوس يعني
واكتب الامر



nslookup www.facebook.com

النتيجة هي


Server: UnKnown
Address: 192.168.11.236

Non-authoritative answer:
Name: facebook.com
Addresses: 69.63.181.12
69.63.189.11
69.63.189.16

وهذا هي السيرفرات والايبيات الخاصة بالفيس بوك


هذه الطريقة مجربه وتمنع الموقع وممكن تضع اكسس ليست ثانية لتمنع بروتوكول https ولكن لم يتم تجربتها على مواقع البروكسي

سلامي لجميع والى صديقي العزيز احمد مصطفى

There is no specific way to block the URL with the usual ACL on the Cisco router, but you can do a work around and mark the packets for specific URL with some DSCP value, and then filter on that DSCP value in the ACL.

Steps are very simple:

1. create class map and match on specific url
2. create the policy map and under the specified class map set dscp value. Make sure that this dscp value is not used by other traffic, otherwise it may be dropped.
3. apply policy on the inbound interface.
4. create and apply ACL on the outbound interface in outbound direction that will deny packets with that dscp value.

ممكن عن طريق IPSec??