我最近收到一個讀者的電子郵件,他希望知道如何使用Cicso IOS來屏蔽某個特定網(wǎng)站。他是這樣寫的:“我有一臺Cisco 2600,平時一般 用它作為互聯(lián)網(wǎng)服務(wù)器。現(xiàn)在我希望可以屏蔽某些特定網(wǎng)站,我該怎么做呢?”
這不是一個很困難的任務(wù)——只要您知道Cisco IOS是如何工作的。這里我將指導(dǎo)您如何進(jìn)行這項工作,并告訴您使用這種方式應(yīng)當(dāng)注意些什么 。
步驟1:配置一個DNS服務(wù)器
假設(shè)我們打算屏蔽一個名為www.badsite.com的網(wǎng)站。我們并不知道該網(wǎng)站的具體IP地址,而且我們也不想知道。沒問題——Cisco IOS會自己 把地址找出來并填上它。
要做到這一點,我們需要至少在路由器上配置一臺DNS服務(wù)器。若想配置一臺DNS服務(wù)器,應(yīng)使用ip name-server命令。下面是個例子:
Router(config)# ip name-server 1.1.1.1 2.2.2.2
本例中,我們配置了一個主DNS服務(wù)器1.1.1.1,以及一個備用DNS服務(wù)器2.2.2.2,以便路由器對域名進(jìn)行解析。這不會影響路由器的任何流量 。當(dāng)我們需要對某個域名進(jìn)行Ping服務(wù)時,路由器將使用這些DNS服務(wù)器。以下是具體示例:
Router# ping www.techrepublic.com
Translating "www.techrepublic.com"...domain server (1.1.1.1) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Router#
在上述例子中,路由器使用了我們指定的域名服務(wù)器地址(1.1.1.1)來嘗試解析域名。它成功的將域名www.techrepublic.com解析為對應(yīng)的IP ——216.239.113.101。
如果我們不曾指定DNS服務(wù)器,那么路由器很可能會返回下述這些反饋:
Translating "www.techrepublic.com"...domain server (255.255.255.255)
% Unrecognized host or address, or protocol not running.
(不認(rèn)識的主機(jī)或地址,或可能協(xié)議未運(yùn)行)
步驟2:建立ACL
想真正阻止訪問某個網(wǎng)站,我們必須建立一個存取控制列表(access control list,簡稱ACL)來具體定義我們想阻止什么。下面是個例子:
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www
Translating "www.badsite.com"...domain server (1.1.1.1) [OK]
Router(config)# access-list 101 permit tcp any any eq www
! to allow all other web traffic
這個ACL拒絕了所有對特定網(wǎng)站www.badsite.com的訪問。在阻止訪問該網(wǎng)站的同時,它允許所有人訪問其他任意網(wǎng)站。
最后,由于ACL的隱含禁止,除WWW外所有的其他通信將全部被禁止。
如果您想知道到底是哪些IP地址在試圖訪問被阻止的網(wǎng)站,可以通過使用LOG關(guān)鍵字,記錄相關(guān)信息。下面是個例子。
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www log
步驟3:避免“遺漏”
有一點需要注意。在我們輸入了上述ACL的第一行之后,留意路由器是如何使用DNS服務(wù)器來解析域名的。然后它會用解析域名所得的IP地址替 換掉ACL中的主機(jī)名。我們來仔細(xì)看看配置:
Router# sh run | inc access-list 101
access-list 101 deny tcp any host 66.116.109.62 eq www
這是個很好的功能,但是可能由于幾個原因?qū)е鲁霈F(xiàn)問題。首先,該IP僅僅是DNS服務(wù)器響應(yīng)的第一個IP。如果這是個大型網(wǎng)站,有多臺服務(wù)器 (比如一個搜索引擎),而ACL卻僅僅包含了DNS首先響應(yīng)的第一個IP——您將不得不手工屏蔽其余的IP地址。下面是個示例:
C:\> nslookup www.google.com
Server: DNSSERVER
Address: 1.1.1.1
Non-authoritative answer:
Name: www.l.google.com
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99
Aliases: www.google.com
其次,如果被禁止的網(wǎng)頁服務(wù)器更改了IP地址,ACL中的地址并不會跟隨變化。您必須對ACL進(jìn)行人為更新。
步驟4:實施ACL
僅僅創(chuàng)建了ACL并不意味著路由器就用上了它——我們還必須對ACL進(jìn)行實施。下面,假設(shè)我們要建立一個ACL,以阻止內(nèi)部局域網(wǎng)訪問外部的廣 域網(wǎng)(比如Internet)。因此我們應(yīng)當(dāng)用ACL的源地址過濾,而不是目標(biāo)地址的過濾。
同樣,基于設(shè)計的目的,我們需要在路由器的Out方向?qū)嵤┻@個ACL。下面是示例。
Router(config)# int serial 0/0
Router(config-if)# ip access-group 101 out
您曾使用過Cisco IOS來屏蔽過網(wǎng)站么?您的ACL是怎樣的?您有好的ACL和我們分享么?請留下您的意見。