Cisco
我的 Facebook 阻止 ACL 已停止工作
這可能很簡單。這是在我到達之前設置的,並且一直在努力阻止 Facebook。我最近消除了一些靜態埠轉發
2691
(例如,我認為沒有其他任何改變),現在 facebook 再次可以訪問。為什麼這個列表沒有做它應該做的(並且正在做的)?擴展的出站 ACL 是否更合適(我認為如果我一開始就負責創建此 ACL,我會這麼想)?有些不同?
我在下麵包含了我認為是配置的相關部分。
interface FastEthernet0/0 ip address my.pub.ip.add my.ip.add.msk ip access-group 1 in ip nat outside ip virtual-reassembly duplex auto speed auto access-list 1 deny 69.171.224.0 0.0.31.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 deny 66.220.144.0 0.0.15.255 access-list 1 deny 69.63.176.0 0.0.15.255 access-list 1 permit any ip nat inside source list 105 interface FastEthernet0/0 overload access-list 105 deny ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255 access-list 105 permit ip 192.168.0.0 0.0.0.255 any access-list 105 permit ip 192.168.1.0 0.0.0.255 any
編輯
ACL 再次阻止 Facebook。這是給感興趣的人的新定義……
access-list 1 deny 66.220.144.0 0.0.7.255 access-list 1 deny 66.220.152.0 0.0.7.255 access-list 1 deny 69.63.176.0 0.0.7.255 access-list 1 deny 69.63.176.0 0.0.0.255 access-list 1 deny 69.63.184.0 0.0.7.255 access-list 1 deny 69.171.224.0 0.0.15.255 access-list 1 deny 69.171.239.0 0.0.0.255 access-list 1 deny 69.171.240.0 0.0.15.255 access-list 1 deny 69.171.255.0 0.0.0.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 173.252.64.0 0.0.31.255 access-list 1 deny 173.252.70.0 0.0.0.255 access-list 1 deny 173.252.96.0 0.0.31.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 permit any
Facebook 正在運營他們自己的網路,因此通過BGP向其他網路(即網際網路)宣布他們的地址範圍。
使用公共BGP 窺鏡或直接將 bgp 饋送到您的路由器,可以通過查看路徑中具有 AS32934(Facebook自治系統編號)的路由來了解這些範圍。
雖然這可能非常方便(對所有 AS32934 前綴進行空路由),但並不是每個人都具備 BGP 知識,而且只需查看Facebook在 HurricaneElectric 網站上公佈的前綴即可。但是,此列表應手動更新,因為 Facebook 可以添加新前綴。
使用此列表,使用路由器上的簡單訪問列表來阻止 Facebook 真的很容易。
由於 Facebook 現在也使用 ipv6,如果您的網路啟用了 ipv6,您還應該在 FastEthernet0/0 介面上添加一個 ipv6 訪問列表,並使用少數網路公佈。
但請注意,如果 Facebook 使用像 Akamai 這樣的CDN,伺服器的地址(反向代理/記憶體)可能在 CDN 的 IP 地址範圍內,而不是在 Facebook 的範圍內。