Как блокировать сайты на Juniper

Для примера возьму маршрутизатор Juniper MX204 и покажу пример блокировки сайтов по IP адресам или сетям.

Для начала создадим список IP адресов или сетей, доступ к которым необходимо заблокировать:

set policy-options prefix-list blacklist-ip 192.168.5.5/32
set policy-options prefix-list blacklist-ip 192.168.15.0/24

Теперь в фаерволе создадим фильтр с указанием этого списка:

set firewall family inet filter blacklist-ip-drop interface-specific
set firewall family inet filter blacklist-ip-drop term drop from destination-prefix-list blacklist-ip
set firewall family inet filter blacklist-ip-drop term drop then discard
set firewall family inet filter blacklist-ip-drop term other then accept

Готовый фильтр можно применить к нужному интерфейсу или интерфейсам, например uplink или в сторону клиентов:

set interfaces ae0 unit 777 family inet filter output blacklist-ip-drop
set interfaces ae0 unit 876 family inet filter output blacklist-ip-drop

Если какой ни будь фильтр уже используется на интерфейсе, то отредактируем его, добавив в начало два правила «term drop», последним правилом обязательно должно быть accept, так как им мы разрешаем весь остальной трафик, правило interface-specific необходимо так как фильтр вероятно будет применятся не к одному интерфейсу. На коммутаторах серии EX фильтр необходимо применять к локальному интерфейсу.

Применим изменения с указанием комментария:

commit comment "filter blacklist-ip-drop ixnfo.com"

Смотрите также мои статьи:

Оставьте комментарий

Добавить комментарий