Cisco

我的 Facebook 阻止 ACL 已停止工作

  • November 14, 2012

這可能很簡單。這是在我到達之前設置的,並且一直在努力阻止 Facebook。我最近消除了一些靜態埠轉發2691(例如,我認為沒有其他任何改變),現在 facebook 再次可以訪問。

為什麼這個列表沒有做它應該做的(並且正在做的)?擴展的出站 ACL 是否更合適(我認為如果我一開始就負責創建此 ACL,我會這麼想)?有些不同?

我在下麵包含了我認為是配置的相關部分。

interface FastEthernet0/0
ip address my.pub.ip.add my.ip.add.msk
ip access-group 1 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto

access-list 1 deny   69.171.224.0 0.0.31.255
access-list 1 deny   74.119.76.0 0.0.3.255
access-list 1 deny   204.15.20.0 0.0.3.255
access-list 1 deny   66.220.144.0 0.0.15.255
access-list 1 deny   69.63.176.0 0.0.15.255
access-list 1 permit any

ip nat inside source list 105 interface FastEthernet0/0 overload
access-list 105 deny   ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 105 permit ip 192.168.1.0 0.0.0.255 any

編輯

ACL 再次阻止 Facebook。這是給感興趣的人的新定義……

access-list 1 deny   66.220.144.0 0.0.7.255
access-list 1 deny   66.220.152.0 0.0.7.255
access-list 1 deny   69.63.176.0 0.0.7.255
access-list 1 deny   69.63.176.0 0.0.0.255
access-list 1 deny   69.63.184.0 0.0.7.255
access-list 1 deny   69.171.224.0 0.0.15.255
access-list 1 deny   69.171.239.0 0.0.0.255
access-list 1 deny   69.171.240.0 0.0.15.255
access-list 1 deny   69.171.255.0 0.0.0.255
access-list 1 deny   74.119.76.0 0.0.3.255
access-list 1 deny   173.252.64.0 0.0.31.255
access-list 1 deny   173.252.70.0 0.0.0.255
access-list 1 deny   173.252.96.0 0.0.31.255
access-list 1 deny   204.15.20.0 0.0.3.255
access-list 1 permit any

Facebook 正在運營他們自己的網路,因此通過BGP向其他網路(即網際網路)宣布他們的地址範圍。

使用公共BGP 窺鏡或直接將 bgp 饋送到您的路由器,可以通過查看路徑中具有 AS32934(Facebook自治系統編號)的路由來了解這些範圍。

雖然這可能非常方便(對所有 AS32934 前綴進行空路由),但並不是每個人都具備 BGP 知識,而且只需查看Facebook在 HurricaneElectric 網站上公佈的前綴即可。但是,此列表應手動更新,因為 Facebook 可以添加新前綴。

使用此列表,使用路由器上的簡單訪問列表來阻止 Facebook 真的很容易。

由於 Facebook 現在也使用 ipv6,如果您的網路啟用了 ipv6,您還應該在 FastEthernet0/0 介面上添加一個 ipv6 訪問列表,並使用少數網路公佈

但請注意,如果 Facebook 使用像 Akamai 這樣的CDN,伺服器的地址(反向代理/記憶體)可能在 CDN 的 IP 地址範圍內,而不是在 Facebook 的範圍內。

引用自:https://serverfault.com/questions/444818