- В случае необходимости ограничить доступ к ресурсам по URL, возможно использовать функционал ip http/https proxy.
В данном примере производится ограничения доступа к определенным ресурсам(YouTube, ВКонтакте) на интерфейсе gi 1/0/2 при запросе(Хост), доступ ко всем прочим ресурсам не ограничивается(default action permit в конфигурации ip http profile Test). В object-group url Black ресурс YouTube указан в формате regexp:
esr# sh running-config object-group url Black url https://vk.com/ regexp 'youtube.com' exit ip http profile Test default action permit urls local Black action deny exit interface gigabitethernet 1/0/1 description "to_WAN" ip firewall disable ip address 192.0.2.1/30 exit interface gigabitethernet 1/0/2 description "to_LAN" ip firewall disable ip address 192.168.0.10/24 ip http proxy Test ip https proxy Test exit nat source ruleset test to interface gigabitethernet 1/0/1 rule 1 action source-nat interface enable exit exit exit ip route 0.0.0.0/0 192.0.2.2
Проверка работоспособности производилась на версии ПО 1.14.5.
2. При использовании Firewall.
Если в конфигурации ESR используется Firewall:
interface gigabitethernet 1/0/1 description "to_WAN" security-zone untrusted ip address 192.0.2.1/30 exit interface gigabitethernet 1/0/2 description "to_LAN" security-zone trusted ip address 192.168.0.10/24 ip http proxy Test ip https proxy Test exit
то необходимо создать разрешающее правило для зоны Self для работы прокси-сервер:
object-group service proxy port-range <port-range> exit security zone-pair trusted self rule <№> action permit match protocol tcp match destination-port proxy enable exit
Значение <port-range> при настройке прокси-сервера на ESR определяется следующим образом:
- для http proxy используются порты, начиная с базового порта (по умолчанию 3128) по базовый порт + количество cpu данной модели ESR - 1.
- для https proxy используются порты, начиная с базового порта (по умолчанию 3128) + количество cpu данной модели ESR по базовый порт + количество cpu данной модели ESR * 2 - 1.
Если рассмотреть ESR-20, то в данной модель на борту имеется 4 CPU, то согласно условиям необходимо установить port-range 3128-3135.
P.S. Сервисы google(YouTube, drive.google) используют проприетарный протокол QUIC для установки соединения, поэтому заблокировать данный протокол с помощью прокси сервера(http, https) возможности нет. Для блокировки данных сервисов возможно использовать firewall(запретить udp:80;443), либо отключить поддержку протокола QUIC в браузере ПК. Пример настройки блокировки протокола QUIC с помощью firewall:
object-group service QUIC port-range 80 port-range 443 exit security zone-pair trusted untrusted rule 5 action deny match protocol udp match destination-port QUIC enable exit