Это, наверное, очень просто. Это было настроено до того, как я приехал, и работал над блокировкой facebook. Недавно я устранил статическую переадресацию портов на этом 2691 (например, я не думаю, что что-то еще изменилось), и теперь facebook снова доступен.
Почему этот список не выполняет то, что кажется, должен делать (и был делаешь)? Был бы более уместным расширенный исходящий ACL (я думаю, что бы я подумал, если бы мне было поручено создать это в первую очередь)? Что-то другое?
Я включил ниже то, что я считаю соответствующими частями конфигурации.
interface FastEthernet0/0
ip address my.pub.ip.add my.ip.add.msk
ip access-group 1 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
access-list 1 deny 69.171.224.0 0.0.31.255
access-list 1 deny 74.119.76.0 0.0.3.255
access-list 1 deny 204.15.20.0 0.0.3.255
access-list 1 deny 66.220.144.0 0.0.15.255
access-list 1 deny 69.63.176.0 0.0.15.255
access-list 1 permit any
ip nat inside source list 105 interface FastEthernet0/0 overload
access-list 105 deny ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 105 permit ip 192.168.1.0 0.0.0.255 any
РЕДАКТИРОВАТЬ
ACL снова блокирует Facebook. Вот новое определение для заинтересованных ...
access-list 1 deny 66.220.144.0 0.0.7.255
access-list 1 deny 66.220.152.0 0.0.7.255
access-list 1 deny 69.63.176.0 0.0.7.255
access-list 1 deny 69.63.176.0 0.0.0.255
access-list 1 deny 69.63.184.0 0.0.7.255
access-list 1 deny 69.171.224.0 0.0.15.255
access-list 1 deny 69.171.239.0 0.0.0.255
access-list 1 deny 69.171.240.0 0.0.15.255
access-list 1 deny 69.171.255.0 0.0.0.255
access-list 1 deny 74.119.76.0 0.0.3.255
access-list 1 deny 173.252.64.0 0.0.31.255
access-list 1 deny 173.252.70.0 0.0.0.255
access-list 1 deny 173.252.96.0 0.0.31.255
access-list 1 deny 204.15.20.0 0.0.3.255
access-list 1 permit any
Я подозреваю, что facebook просто добавил новое пространство IP-адресов. Переадресация портов или ее отсутствие не должны иметь никакого влияния на ваш список входящего доступа. Откуда вы взяли этот список IP-адресов Facebook?
Facebook управляет своей собственной сетью, поэтому объявляет свои диапазоны адресов другим сетям (например, Интернету) с помощью BGP.
Использование публичного BGP зазеркалье или прямой канал bgp на ваш маршрутизатор, можно узнать, что это за диапазоны, просмотрев маршруты с AS32934 (Facebook Номер автономной системы) в пути.
Хотя это может быть очень удобно (нулевая маршрутизация всех префиксов AS32934), не все знают BGP, и можно просто посмотреть на префиксы, объявленные Facebook на сайте HurricaneElectric. Однако этот список следует обновить вручную, поскольку Facebook может добавлять новые префиксы.
Используя этот список, действительно легко заблокировать Facebook с помощью простого списка доступа на маршрутизаторе.
Поскольку Facebook теперь также использует ipv6, вам также следует добавить список доступа ipv6 в интерфейсе FastEthernet0 / 0 с помощью несколько анонсированных сетей если ваша сеть поддерживает IPv6.
Однако будьте осторожны, если Facebook использует CDN как и Akamai, адреса серверов (обратные прокси / кеши) могут находиться в диапазонах IP-адресов CDN, а не в Facebook.