web-dev-qa-db-ja.com

Cisco ASAで国のIP範囲をブロックする方法は?

具体的には、クライアントから中国のIP範囲をブロックするようリクエストがあります。私はこれを行う方法を知っています。 https://www.countryipblocks.net/e_country_data/CN_netmask.txt のIPを使用して、ACLを作成します。よく見てみると、3,412のネットワークがブロックされているはずです。

私が本当に求めているのは、超大規模なACLを作成する方法はありますか?隣接するIPスペースの場合は、スーパーネットを使用できますが、そうではありません。

5
evolvd

巨大なネットワークオブジェクトグループが巨大なACLよりも好みの場合は、それが他の選択肢になると思います。コマンドラインでも実行でも同じレベルの醜いですが、ASDMではもっときれいになると思います。

国の包括的ブロックには十分注意してください。私はそれがいくつかの興味深い問題を引き起こすのを見てきました。 (「WindowsUpdateにアクセスできないのはなぜですか?」「ああ、インドネシアのサーバーにアクセスしていて、誰かがアジア全体をブロックしている」)

2
Shane Madden

権限を選択するだけで、ASAにドロップする構成が提供されるスクリプトを作成しました。信じられないほど正確です。

regional-asa

必要に応じて、特定の地域をブロックまたは許可できます。間もなく特定の国向けに更新する予定ですが、現在はARIN、RIPE、APNICなどの機関向けに更新しています。

2
In Transit

カントリーIPブロックでは、隣接するネットワークを集約して、出力を大幅に小さくすることができます。連絡して質問してください。

2
Stewart