Для примера возьму маршрутизатор Juniper MX204 и покажу пример блокировки сайтов по IP адресам или сетям.
Для начала создадим список IP адресов или сетей, доступ к которым необходимо заблокировать:
set policy-options prefix-list blacklist-ip 192.168.5.5/32
set policy-options prefix-list blacklist-ip 192.168.15.0/24
Теперь в фаерволе создадим фильтр с указанием этого списка:
set firewall family inet filter blacklist-ip-drop interface-specific
set firewall family inet filter blacklist-ip-drop term drop from destination-prefix-list blacklist-ip
set firewall family inet filter blacklist-ip-drop term drop then discard
set firewall family inet filter blacklist-ip-drop term other then accept
Готовый фильтр можно применить к нужному интерфейсу или интерфейсам, например uplink или в сторону клиентов:
set interfaces ae0 unit 777 family inet filter output blacklist-ip-drop
set interfaces ae0 unit 876 family inet filter output blacklist-ip-drop
Если какой ни будь фильтр уже используется на интерфейсе, то отредактируем его, добавив в начало два правила «term drop», последним правилом обязательно должно быть accept, так как им мы разрешаем весь остальной трафик, правило interface-specific необходимо так как фильтр вероятно будет применятся не к одному интерфейсу. На коммутаторах серии EX фильтр необходимо применять к локальному интерфейсу.
Применим изменения с указанием комментария:
commit comment "filter blacklist-ip-drop ixnfo.com"
Смотрите также мои статьи:
- Настройка RPZ в Bind9 (блокировка сайтов)
- Блокировка социальных сетей используя iptables
- Блокировка социальных сетей на Cisco
- Блокировка социальных сетей на маршрутизаторах Mikrotik