Solucionado: Negar toda la salida a internet y solo permitir una URL en ASA 5505

yesenia-m · ‎11-13-2013

Hola, buen dia

Tenemos un asa 5505 con licencia base, se requiere que para ciertas IP no se tenga salida a internet y solo permitir el acceso al mail que se encuentra en la nube, se puede realizar por expresiones regulares? alguien tendrá una guia donde pudiera revisar la manera de realizarlo.

Agradezco enormemente su apoyo.

Saludos

Itzcoatl Espinosa · ‎11-14-2013

Yesenia,

Si lo que se desea es bloquear internet, excepto para ciertas direcciones IP, podrías aplicar una lista de acceso en la interfaz interna bloqueando internet y permitiendo mail.

Ejemplo

access-list inside_in deny tcp host 1.1.1.1 any eq 80

access-list inside_in deny tcp host 1.1.1.1 any eq 443

access-list inside_in permit tcp 1.1.1.0 255.255.255.0 any eq 80

access-list inside_in permit tcp 1.1.1.0 255.255.255.0 any eq 443

access-list inside_in permit tcp any any eq 25

access-group inside_in in interface inside

Espero ayude

Saludos.

Itzcoatl

Ver la solución en mensaje original publicado

Edgar Servin · ‎02-28-2014

Hola Yesenia.

Si tu mail usa https en la nube, no podras hacerlo con expresiones regulares debido a la encriptación ssl.

Ya pase por lo mismo, solo resulta para conexiones http

Lo mejor seria si no te queda otra, usar acl con la ip address destino como te indican arriba.

Espero te sirva.

Ver la solución en mensaje original publicado

DUYE00017 · ‎11-13-2013

Estos enlaces pueden ser de tu interes

http://estas-preparado.blogspot.com/2009/05/filtrado-de-contenido.html

http://estas-preparado.blogspot.com.br/2012/05/filtrado-por-mac-para-salida-internet.html

Marcos

http://linuxeros-faq.blogspot.com

Marcos http://linuxeros-faq.blogspot.com

Itzcoatl Espinosa · ‎11-14-2013

Yesenia,

Si lo que se desea es bloquear internet, excepto para ciertas direcciones IP, podrías aplicar una lista de acceso en la interfaz interna bloqueando internet y permitiendo mail.

Ejemplo

access-list inside_in deny tcp host 1.1.1.1 any eq 80

access-list inside_in deny tcp host 1.1.1.1 any eq 443

access-list inside_in permit tcp 1.1.1.0 255.255.255.0 any eq 80

access-list inside_in permit tcp 1.1.1.0 255.255.255.0 any eq 443

access-list inside_in permit tcp any any eq 25

access-group inside_in in interface inside

Espero ayude

Saludos.

Itzcoatl

Itzcoatl Espinosa · ‎11-14-2013

Si sólo se va a permitir una URL, podrías hacerlo con base en dirección IP en el ACL mencionada, sin tener que usar expresiones regulares.

Saludos

Itzcoatl

Edgar Servin · ‎02-28-2014

Hola Yesenia.

Si tu mail usa https en la nube, no podras hacerlo con expresiones regulares debido a la encriptación ssl.

Ya pase por lo mismo, solo resulta para conexiones http

Lo mejor seria si no te queda otra, usar acl con la ip address destino como te indican arriba.

Espero te sirva.