По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В данной статье мы расскажем вам как заблокировать к определенным вебсайтам (к их доменам) с самым обычным межсетевым экраном Cisco ASA. Данный метод работает как на старых 5500 моделях, так и на новых 5500-X. Единственное требование – наличие версии ПО старше 8.4(2) Кроме того, вам не требуется никаких фич, присущих МСЭ следующего поколения или дополнительных подписок.
Важный момент – даже если данное решение по блокировке вебсайтов выглядит довольно простым, оно не является заменой полноценному веб-прокси серверу. В случае Cisco, таким решением является Cisco WSA – Web Security Appliance, или же данный функционал можно активировать с помощью покупки подписки на URL фильтрацию для вашего МСЭ следующего поколения.
Используемые методы
Всего существует несколько способов блокировки страниц в интернете:
Регулярные выражения с MPF (Modular Policy Framework);
Блокировка по сетевому адресу с помощью листов контроля доступа (ACL);
Используя FQDN (Fully Qualified Domain Name) в листе контроля доступа (ACL);
Первый метод работает довольно хорошо с HTTP сайтами, но он не будет работать от слова совсем с HTTPS сайтами. Второй метод будет работать только для простых сайтов, у которых статический IP – адрес, то есть будет очень трудоемко настроить его для работы с такими сайтами как Facebook, VK, Twitter и т.д. Поэтому, в данной статье мы опишем третий метод.
Описание настройки
При использовании версии ПО выше или равной 8.4(2), появилась возможность добавлять в ACL такие объекты как FQDN (полные доменные имена). Таким образом, вы можете разрешить или запретить доступ к хостам используя их доменные имена вместо IP – адресов. То есть можно будет запретить доступ к Фейсбуку просто запретив доступ к FQDN объекту «www.facebook.com» внутри ACL.
Важное преимущество данного метода состоит в том, что это не скажется на производительности вашего МСЭ – т.к DNS лукап будет совершен до этого и все ассоциированные с этим FQDN будут храниться в памяти устройства. В зависимости от TTL на DNS лукапе, МСЭ может продолжать совершать DNS запросы для определенного доменного имени (каждые несколько часов, к примеру) и обновлять IP – адреса в памяти.
На примере сети ниже, мы хотим заблокировать доступ к www.website.com, который имеет IP-адрес 3.3.3.3. Наша ASA будет использовать внутренний DNS - сервер (или любой другой DNS – сервер) для получения адреса и запрета доступа к нему во входящем ACL на внутреннем интерфейсе.
Команды
Теперь настало время написать сам конфиг (точнее только его часть, которая касается блокировки страниц). Он указан ниже, с комментариями:
domain-name merionet.ru
interface GigabitEthernet0
nameif outside
security-level 0
ip address 1.2.3.0 255.255.255.0
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1
!другие команды настройки интерфейса скрыты
!Указываем, какой DNS сервер использовать для определения IP – адресов
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.2
domain-name mycompany.com
!Создаем FQDN объекты для тех сайтов, которые хотим заблокировать. Указываем как с www так и без
object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com
!Добавляем FQDN объекты во входящий ACL на внутреннем интерфейсе
access-list INSIDE-IN extended deny ip any object obj-www.website.com
access-list INSIDE-IN extended deny ip any object obj-website.com
access-list INSIDE-IN extended permit ip any any
!Применяем ACL выше для внутреннего интерфейса
access-group INSIDE-IN in interface inside
Как и множество других инструментов для управления и автоматизации на рынке программного обеспечения, Ansible был изначально open – source проектом (с открытым исходным кодом), который предназначался для автоматизации настройки и деплоймента (развертывания) ПО в сетевых контурах компаний. Чего скрывать, продукт «стрельнул» - когда компания AnsibleWorks это поняла, начала активную монетизацию через коммерческую поддержку продукта для корпоративных заказчиков.
/p>
В настоящее время их продуктовая линейка состоит из двух направлений - Ansible и Ansible Tower, причем последний обладает полноценным интерфейсом управления (UI) и возможностью реализации дашбордов.
Ansible - новые ребята в DevOps направлении, по сравнению, например, с Chef или Puppet, но успели круто зарекомендовать себя в сообществе профессионалов за простоту и скоуп возможностей. Его playbooks понятны и легко читаемы, даже без особых знаний.
Так к чему это все? В «правильных руках», где присутствует полное понимание плюсов и минусов продукта Ansible может работать еще круче :) Поэтому, хотим рассказать про 5 лучших и 5 худших свойств Ansible.
Playbooks в Ansible это файл в формате YAML, который содержит последовательность состояния ресурсов системы, задач, которые позволяет запустить то или состояние сервера.
Что такое DevOps, что нужно знать и сколько получают DevOps - специалисты?
5 лучших качеств Ansible
Легкость в изучении
По правде говоря, это одно из самых крутых качеств Ansible – изучить его можно за один вечер и уже запускать веб – сервер из YAML, например. Ansible задачи запускаются последовательно, что сильно облегчает траблшутинг конфигураций. Например, можно сделать Playbook для Ansible, который позволит получить минимальный веб сервер примерно так:
Создаем файл формата .yml и наполняем командами;
Установить через yum apache;
Запустить apache как сервис в операционной системе;
Скопировать в корень веб – сервера html страничку с заглушкой («Мы готовим информацию по сайту, скоро здесь все будет, бла бла бла..»);
Скорректировать iptables, открыв порты и сохранить конфигурацию;
Не сложно, не правда ли?
Написан на Python
Я, как автор статьи, подметил следующее: если мы возьмем 10 программистов, вероятность, что кто-то из них знает Python гораздо выше, чем то, что кто – то из них знает Ruby. Именно это делает Ansible крутым – он написан на питоне в отличие от Ruby – based конкурентов. Так же отмечу, что Python библиотека, обычно, по умолчанию присутствует в любом Linux дистрибутиве, чего не сказать о Ruby.
Продолжая экскурсию – Ansible поддерживает написание модулей на любом языке программирования. Единственное требование – формат ответа. Это должен быть JSON.
Не нужно ставить клиента (агента) на машину
Для управления узлами, Ansible обрабатывает все коммуникации между мастер – узлами и узлами – агентами по стандартному SSH, или через модуль Paramiko, который является частью Python SSH второй версии.
Не нужно ставить агентское ПО на удаленные машины – только SSH подключение. Как следствие, упрощение обслуживания и траблшутинга.
YAML плейбуки
Как мы писали ранее, плейбуки в Ансибл невероятно просты и читаемы. Все DevOps инженеры, с которыми мы обсуждали его, освоили их за один вечер. Они даже проще чем JSON :)
Портал Ansible Galaxy
Портал, на котором вы наверняка найдете решение для своей задачи. Это объединение Ansible сообщества, где люди делятся наработками и решениями той или иной задачи. Знаете, это как ответ на мэйл.ру - чтобы вам не пришло реализовать на Ансибл, то как правило, кто – то эту задачу уже решил :). Тонны плейбуков, фреймворков, дистрибутивов и сопутствующего ПО.
5 худших качеств Ansible
Настало время хорошенько пройтись по Ansible и выделить минусы продукта. Пожестим.
Проблемы с интерфейсом (UI)
Изначально Ansible разработан для работы с командной строкой. Первые наметки в сторону визуализации конфигурации Ансибл начались через AWX – графический интерфейс пользователя, который являлся первой попыткой упрощения конфигураций через интерфейсную составляющую. В последствии, AWX превратился в Anbile Tower, который дает возможность через GUI управлять Ansible, рисовать workflow и так далее.
Несмотря на улучшение Tower перед AWX, он все равно позволяет делать только 85% рабочего функционала Ansible, который можно делать через командную строку. В добавок, конфигурации внесенный через интерфейс зачастую не синхронизируются с CLI – конфигами.
Ansible Tower находится на стадии разработки и пока весьма сыроват.
Нет работы с состоянием машин/процессов
Если сравнивать с тем же Puppet, Ansible не имеет понятия «состояние» и, соответственно, не отслеживает его. Ансибл не смотрит на зависимости, а просто выполняет последовательный ряд задач/процессов. Для кого – то это нормально и удовлетворяет поставленным задачам, но есть и другие пользователи, у которых от такой работы, мягко говоря, «подгорает» :)
Слабая поддержка совместимости с Windows
С версии 1.7 Ansible умеет работать с Unix и Windows узлами, но надо признаться, работа с первыми реализована гораздо лучше. Взаимодействие с Windows машинами происходит через PowerShell, и, что важно, вам все равно потребуется Linux хост (управляющая тачка) для такой коммуникации.
Ждем, когда Ansible разрабы разгребут бэклог по работе продукта с Windows.
Поддержка крупного бизнеса
Ansible Enterprise Tower и Premiun Tower имеют 8х5х4 и 24х7х2 SLA соответственно, но имеют меньше опыта поддержки крупняков, в сравнении, например, с Chef и Puppet.
Новизна продукта
Ansible находится на рынке меньше своих конкурентов и, само собой, баги будут всплывать. К тому же, комьюнити Ансибл только растет и развивается, в отличие от более крупных игроков, упомянутых в этой статье.
Итоги
Подведем черту: Ansible это просто, гибкий и мощный инструмент, для управления конфигами и автоматизацией. Ansible Tower имеет графический веб – интерфейс, REST API, с помощью которого вы можете интегрировать свой сторонние приложения и поддержку, которая только учится и осваивает азы сопровождения крупного энтерпрайза.
Ansible – новинка, которая имеет своих ранних последователей, противников, сторонников. Сочетая в себе большое количество плюсов, он, конечно, имеет ряд недостатков или так сказать «ранних болезней», через которые уже прошли более крупные конкуренты.
Но кто знает, что покажет нам Ansible завтра?
Привет, бро! В статье расскажем в чем разница между RIPv1 (Routing Information Protocol Version 1) и его продолжение RIPv2. Погнали?
Про Routing Information Protocol Version 1 (RIPv1)
Прямо и по пунктам:
RIPv1 это Distance-Vector протокол. Если переводить на русский - дистанционно-векторный. ;
Distance vector routing - так называемая дистанционно-векторная маршрутизация, главный принцип которой основан на вычислении специальных метрик, которые определяют расстояние (количество узлов) до сети назначения
RIPv1 это classfull протокол. Это означает, что он не отправляет маску подсети в апдейтах маршрутизации;
RIPv1 не поддерживает VLSM (Variable Length Subnet Masking);
VLSM (Variable Length Subnet Masking) - метод эффективного использования IP – адресации, который избавляет от привязки к классу сети (класс A, класс B, класс C). VLSM позволяет дробить подсеть на подсеть и так далее. Тем самым, мы можем эффективно использовать адресное пространство согласно реальных потребностей, а не класса сети;
RIPv1 поддерживает максимум 15 хопов! Это означает, что любой маршрутизатор, который расположен от вас в больше, чем 15 узлов (маршрутизаторов) будет отмечен как недоступный;
Раз в 30 секунд RIPv1 отправляет широковещательные апдейты маршрутизации – каждый узел должен принять и обработать этот апдейт;
Первая версия RIP не поддерживает авторизация апдейтов маршрутизации – это означает, что потенциально, роутер может обновить таблицу маршрутизации от любого источника;
Вот такой он, RIP первой версии. Двигаем дальше и посмотрим, а на что способен его брат – RIP второй версии?
Про Routing Information Protocol Version 2 (RIPv2)
RIPv2 это гибридный протокол. Он реализован на базе Distance-Vector, но так же поддерживает часть алгоритмов Link State маршрутизации, то есть, может отслеживать состояние каналов;
Link State routing - отслеживает состояние каналов и отправляет LSA (Link-state advertisement) пакеты, в которых рассказывает о состоянии своих каналов. Примером link state протокола маршрутизации является OSPF
RIPv2 - classless протокол. В отличие от своего старшего брата первой версии, второая версия умеет отправлять маску подсети в апдейтах маршрутизации;
RIPv2 поддерживает VLSM!;
RIPv2, как и RIPv1 поддерживает максимум 15 хопов;
RIPv2 отправляет мультикаст сообщения об апдейтах на адрес 224.0.0.9. Это уменьшает нагрузку на сеть и в первую очередь на узлы, на которых не запущен RIP;
Вторая версия RIP поддерживает аутентификацию апдейтов маршрутизации. Это значит, что теперь нельзя будет подсунуть ложный апдейт роутеру (в целом, этим могли пользоваться злоумышленники) – только авторизированные источники;