Como bloquear um intervalo IP de países com um Cisco ASA?

5

Para ser mais específico, tenho uma solicitação de um cliente para bloquear o intervalo de IPs da China. Eu sei como fazer isso. Eu usaria os IPs do link e criaria uma ACL. Bem, se você der uma olhada, existem 3.412 redes que eu teria que bloquear.

O que estou realmente perguntando é que há uma maneira de fazer uma ACL super grande? Se fosse um espaço IP contíguo, eu poderia apenas super-rede, mas esse não é o caso.

    
por evolvd 16.06.2011 / 19:24

3 respostas

2

Se um gigantesco grupo de objetos de rede é mais do seu agrado do que uma gigantesca ACL, então eu acho que seria a outra opção. É o mesmo nível de feio na linha de comando e em execução, mas o tornaria mais bonito no ASDM, suponho.

Tenha muito cuidado com os blocos gerais dos países; Eu vi isso causar alguns problemas interessantes. ("Por que não consigo acessar o Windows Update?" "Ah, você está acessando um servidor indonésio e alguém bloqueou toda a Ásia")

    
por 17.06.2011 / 00:37
2

Nos blocos IP do país, podemos agregar redes contíguas para tornar a saída significativamente menor. Basta entrar em contato e perguntar.

    
por 25.12.2011 / 08:04
2

Eu criei um script onde tudo o que você tem a fazer é escolher uma autoridade e isso lhe dará a configuração para acessar o ASA. É incrivelmente preciso.

regional-asa

Você pode bloquear ou permitir uma região específica, se desejar. Vou atualizá-lo em breve para fazer países específicos, mas agora ele faz autoridades como ARIN, RIPE, APNIC, etc.

    
por 07.10.2014 / 15:55