Meu bloqueio do facebook ACL parou de funcionar

Question

Meu bloqueio do facebook ACL parou de funcionar

#1 resposta do (2 votos)
#2 resposta do (2 votos)

2

Isso provavelmente é muito simples. Esta foi a configuração antes de eu chegar, e tem trabalhado para bloquear o facebook. Eu recentemente eliminei algum encaminhamento estático de portas neste 2691 (como em, não acho que mais nada tenha mudado), e agora o facebook está novamente acessível.

Por que essa lista não está fazendo o que parece que deveria estar fazendo (e estava fazendo)? Um ACL de saída estendido seria mais apropriado (acho que seria meu pensamento se eu tivesse sido encarregado de criar isso em primeiro lugar)? Algo diferente?

Eu incluí abaixo o que acredito serem as partes relevantes da configuração.

interface FastEthernet0/0
 ip address my.pub.ip.add my.ip.add.msk
 ip access-group 1 in
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

access-list 1 deny   69.171.224.0 0.0.31.255
access-list 1 deny   74.119.76.0 0.0.3.255
access-list 1 deny   204.15.20.0 0.0.3.255
access-list 1 deny   66.220.144.0 0.0.15.255
access-list 1 deny   69.63.176.0 0.0.15.255
access-list 1 permit any

ip nat inside source list 105 interface FastEthernet0/0 overload
access-list 105 deny   ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 105 permit ip 192.168.1.0 0.0.0.255 any

EDITAR

A ACL está mais uma vez bloqueando o Facebook. Aqui está a nova definição para os interessados ...

access-list 1 deny   66.220.144.0 0.0.7.255
access-list 1 deny   66.220.152.0 0.0.7.255
access-list 1 deny   69.63.176.0 0.0.7.255
access-list 1 deny   69.63.176.0 0.0.0.255
access-list 1 deny   69.63.184.0 0.0.7.255
access-list 1 deny   69.171.224.0 0.0.15.255
access-list 1 deny   69.171.239.0 0.0.0.255
access-list 1 deny   69.171.240.0 0.0.15.255
access-list 1 deny   69.171.255.0 0.0.0.255
access-list 1 deny   74.119.76.0 0.0.3.255
access-list 1 deny   173.252.64.0 0.0.31.255
access-list 1 deny   173.252.70.0 0.0.0.255
access-list 1 deny   173.252.96.0 0.0.31.255
access-list 1 deny   204.15.20.0 0.0.3.255
access-list 1 permit any

cisco router access-control-list

por JoshP 02.11.2012 / 16:44

2 respostas

2

Eu suspeito que o facebook simplesmente adicionou um novo espaço de endereço IP. Encaminhamento de porta ou a falta dela não deve ter nenhum efeito que eu possa pensar em sua lista de acesso de entrada. Onde você conseguiu essa lista de endereços IP para o Facebook?

por 03.11.2012 / 02:33

Tags cisco router access-control-list

A instalação do stomp via pecl no Fedora 16 falhou (Não é possível encontrar as bibliotecas do OpenSSL) Consumo de memória diferente com configurações semelhantes

score 2 · Accepted Answer

O Facebook está operando sua própria rede, anunciando seus intervalos de endereços para outras redes (ou seja, internet) com o BGP .

Usando um painel de pesquisa BGP público ou um feed BGP direto para o seu roteador, é possível para saber quais são esses intervalos, olhando para as rotas que têm AS32934 (Facebook Número do sistema autônomo ) no caminho.

Embora isso possa ser muito conveniente (nulo-roteamento de todos os prefixos AS32934), nem todo mundo tem conhecimento BGP e pode-se apenas olhar para o prefixos anunciados pelo Facebook no site da HurricaneElectric. No entanto, essa lista deve ser atualizada manualmente, pois o Facebook pode adicionar novos prefixos.

Usando esta lista, é muito fácil bloquear o Facebook usando uma lista de acesso simples no roteador.

Como o Facebook agora está usando o ipv6, você também deve adicionar uma lista de acesso ao ipv6 na interface FastEthernet0 / 0 com as poucas rede anunciada se sua rede for habilitada para ipv6.

Entretanto, se o Facebook usar uma CDN como a Akamai, os endereços dos servidores (proxies reversos / caches) podem estar nos intervalos de endereços IP do CDN, não no Facebook.