Mon ACL de blocage de Facebook a cessé de fonctionner

C'est probablement très simple. Cela a été configuré avant mon arrivée, et j'ai travaillé pour bloquer facebook. J'ai récemment éliminé un renvoi de port statique sur ce 2691 (dans le cas, je pense que rien d'autre n'a changé), et maintenant, Facebook est à nouveau accessible.

Pourquoi cette list ne fait-elle pas ce qu'il semble faire (et faisait)? Une ACL sortante serait-elle plus appropriée (je pense que cela aurait été ma pensée si j'avais été chargé de créer cela en premier lieu)? Quelque chose de différent?

J'ai inclus ci-dessous ce que je crois être les parties pertinentes de la configuration.

 interface FastEthernet0/0 ip address my.pub.ip.add my.ip.add.msk ip access-group 1 in ip nat outside ip virtual-reassembly duplex auto speed auto access-list 1 deny 69.171.224.0 0.0.31.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 deny 66.220.144.0 0.0.15.255 access-list 1 deny 69.63.176.0 0.0.15.255 access-list 1 permit any ip nat inside source list 105 interface FastEthernet0/0 overload access-list 105 deny ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255 access-list 105 permit ip 192.168.0.0 0.0.0.255 any access-list 105 permit ip 192.168.1.0 0.0.0.255 any 

MODIFIER

ACL est à nouveau bloquant Facebook. Voici la nouvelle définition pour les personnes intéressées …

 access-list 1 deny 66.220.144.0 0.0.7.255 access-list 1 deny 66.220.152.0 0.0.7.255 access-list 1 deny 69.63.176.0 0.0.7.255 access-list 1 deny 69.63.176.0 0.0.0.255 access-list 1 deny 69.63.184.0 0.0.7.255 access-list 1 deny 69.171.224.0 0.0.15.255 access-list 1 deny 69.171.239.0 0.0.0.255 access-list 1 deny 69.171.240.0 0.0.15.255 access-list 1 deny 69.171.255.0 0.0.0.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 173.252.64.0 0.0.31.255 access-list 1 deny 173.252.70.0 0.0.0.255 access-list 1 deny 173.252.96.0 0.0.31.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 permit any 

Facebook exploite son propre réseau, annonçant ainsi ses gammes d'adresses à d'autres réseaux (c'est-à-dire Internet) avec BGP .

À l'aide d'un miroir BGP public ou d'un stream direct de bgp pour votre routeur, il est possible de savoir quelles sont ces gammes en regardant les routes qui possèdent AS32934 ( numéro de système autonome Facebook) dans le path.

Bien que cela puisse être très pratique (null-routing tous les préfixes AS32934), tout le monde n'a pas les connaissances de BGP et on peut simplement regarder les préfixes annoncés par Facebook sur le site Web d'HurricaneElecsortingc. Cependant, cette list doit être mise à jour manuellement car Facebook peut append de nouveaux préfixes.

En utilisant cette list, il est vraiment facile de bloquer Facebook en utilisant une simple list d'access sur le routeur.

Comme Facebook utilise maintenant ipv6, vous devez également append une list d'access ipv6 sur l'interface FastEthernet0 / 0 avec le peu de réseau annoncé si votre réseau est compatible ipv6.

Attention, si Facebook utilise un CDN comme Akamai, les adresses des servers (reverse proxies / caches) peuvent être dans les plages d'adresses IP du CDN, et non dans Facebook.

Je soupçonne que Facebook a simplement ajouté un nouvel espace d'adresse IP. Le renvoi ou l'absence de port devrait ne pas avoir d'effet sur ma list d'access entrant. Où avez-vous obtenu cette list d'adresses IP pour Facebook?