这可能很简单。 这是在我到达之前设置的,并一直在努力阻止Facebook。 我最近在这个2691上淘汰了一些静态的端口转发(因为我不认为其他的东西已经改变了),现在Facebook又可以访问了。
为什么这个列表不是在做它应该做的事情? 一个扩展的出站ACL是否更合适(我认为,如果我一开始就负责创build这个ACL,我会这么想)? 有些不同?
我已经包含了下面我认为是configuration的相关部分。
interface FastEthernet0/0 ip address my.pub.ip.add my.ip.add.msk ip access-group 1 in ip nat outside ip virtual-reassembly duplex auto speed auto access-list 1 deny 69.171.224.0 0.0.31.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 deny 66.220.144.0 0.0.15.255 access-list 1 deny 69.63.176.0 0.0.15.255 access-list 1 permit any ip nat inside source list 105 interface FastEthernet0/0 overload access-list 105 deny ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255 access-list 105 permit ip 192.168.0.0 0.0.0.255 any access-list 105 permit ip 192.168.1.0 0.0.0.255 any
编辑
ACL再次阻止Facebook。 这是有兴趣的新定义
access-list 1 deny 66.220.144.0 0.0.7.255 access-list 1 deny 66.220.152.0 0.0.7.255 access-list 1 deny 69.63.176.0 0.0.7.255 access-list 1 deny 69.63.176.0 0.0.0.255 access-list 1 deny 69.63.184.0 0.0.7.255 access-list 1 deny 69.171.224.0 0.0.15.255 access-list 1 deny 69.171.239.0 0.0.0.255 access-list 1 deny 69.171.240.0 0.0.15.255 access-list 1 deny 69.171.255.0 0.0.0.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 173.252.64.0 0.0.31.255 access-list 1 deny 173.252.70.0 0.0.0.255 access-list 1 deny 173.252.96.0 0.0.31.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 permit any
Facebook正在经营自己的networking,因此宣布他们的地址范围与其他networking(即互联网)与BGP 。
使用一个公共的BGP镜像或者一个直接的bgp feed给你的路由器,可以通过查看path中的AS32934(Facebook 自治系统编号 )的路由来知道这些范围是什么。
虽然这可以非常方便(空路由所有的AS32934前缀),但并不是每个人都具有BGP的知识,只需看一下Facebook在HurricaneElectric网站上公布的前缀即可 。 但是,这个列表应该手动更新,因为Facebook可以添加新的前缀。
使用这个列表,在路由器上使用一个简单的访问列表阻止Facebook真的很容易。
由于Facebook现在也使用ipv6, 所以如果您的networking启用了ipv6,则还应该在FastEthernet0 / 0接口上添加一个ipv6访问列表,同时宣布less数几个networking 。
但是要小心,如果Facebook使用像Akamai这样的CDN ,服务器(反向代理/caching)的地址可能在CDN的IP地址范围内,而不是在Facebook中。
我怀疑Facebook只是增加了一些新的IP地址空间。 端口转发或缺乏应该没有影响,我可以想到你的入站访问列表。 你从哪里得到Facebook的IP地址列表?