Bloquer des noms de domaines precis sur un routeur Cisco

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Bloquer des noms de domaines precis sur un routeur Cisco

remiserriere

Bonjour a tous,

Alors comme j’ai cherché sur Google pendant des heures… Je me tourne vers vous ^^

J’ai un routeur Cisco, et je voudrais bloquer des noms de domaines, bien particuliers. Alors je connais ca :

Code :

match protocol http host "*machin.com"

Sauf que je ne veux pas bloquer QUE le http… Je voudrais donc passer par un « deny host » ou « deny ip any ».

Voila ma technique :

Je connais les noms de domaines, j’ai donc fait une liste.
J’ai les adresses, soit pour cet exemple avec les DNS Google, google-public-dns-a.google.com et google-public-dns-b.google.com.
Pour chaque adresse, je trouve l’IP associée (en gros je fais un nslookup par adresse). Pour les deux DNS Google, j’ai donc 8.8.8.8 et 8.8.4.4.
Je peux donc faire un fichier de configuration pour mon routeur, comme par exemple pour les DNS Google :

Code :

access-list 1 deny host 8.8.8.8
access-list 1 deny host 8.8.4.4

Comme les IP changent fréquemment (en fonction de combien d’IP ont acheté les propriétaires des domaines), ce « filtrage » n’est pas suffisant…
Ce n’est pas le cas pour les DNS de Google, mais admettons que l’IP du serveur DNS Public A puisse avoir comme valeur 8.8.8.9, puis 8.8.8.10… Comme c’est le cas pour le domaine Google.com ! Faites deux nslookup sur google.com a la suite et vous aurez 4 IP, puis 4 autres, etc.

Donc je fais le gros bourrin comme par exemple, toujours pour les DNS de Google :

Code :

access-list 1 deny ip any 8.8.8.0 0.0.0.255
access-list 1 deny ip any 8.8.4.0 0.0.0.255

Je bloque toute la plage d’IP, de 8.8.8.0 a 8.8.8.255 pour le DNS Public A et de 8.8.4.0 a 8.8.4.255 pour le DNS Public B, soit 255 IP bloquées par plage.

C’est efficace… Même très efficace !
Seulement voila… Je bloque aujourd’hui 34 adresses, soit 230 IP possibles en gros, soit donc 15 plages.
A 255 IP bloquées par plage, ca fait dans les 3825 IP bloquées !

C’est bien beau, mais j’aimerais affiner tout ca !
Car si des services « utiles » sont hébergés sur des IP dans une des plages bloquées, je ne peux plus y accéder.

Est-ce qu’il existe le moyen de connaitre quelles IP seront utilisées (ou quelles plages) par un nom de domaine en particulier ?
En gros, comment connaitre le nombre d’IP achetées pour un nom de domaine ?

Voila !
J’espère avoir été assez clair…

Merci

Message édité par remiserriere le 06-04-2011 à 07:33:12

Publicité

Je@nb

Modérateur
Kindly give dime

Utiliser un matériel fait pour ça ?

jujudu44

Prophète du CAC

J'osais pas le dire...

---------------
Jujudu44

remiserriere

C'est a dire?

Je suis un peu limite niveau matos, vu que c'est pas moi qui detient le porte feuille...

dreamer18

CDLM

y a pas un "match protocol dns" dans NBAR ?

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

dreamer18

CDLM

oui c'est dans la doc

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

FORUM HardWare.fr

Systèmes & Réseaux Pro

Sécurité

Bloquer des noms de domaines precis sur un routeur Cisco

Sujets relatifs
Pont VPN entre un boitier Arkoon et Cisco ?	service ip phone cisco 7942
Trunk cisco 3560 / 3750 impossible !	Accès au serveur bridé à 100 Mbps par Cisco 2950 ?
Alertes passives Cisco WLC sous Centreon	Pb CISCO voice GW
[Résolu] Probleme Nat sur Cisco PIX 515
Plus de sujets relatifs à : Bloquer des noms de domaines precis sur un routeur Cisco

Page générée en 0.035 secondes