He thong mang cua minh gom Router ket noi voi Netscreen. Router ket noi ra Internet, Netscreen lam nhiem vu Firewall, minh setup firewall su dung Internet. Internet su dung binh thuong nhung khong biet tai sao co mot so website download duoc, co mot so website lai khong download duoc, minh khong tim duoc loi??? Cac ban co ai biet giup minh nhe'.
supt.

Su oi,
Cau tra loi ngan gon nhat va dung nhat. Su lien he voi Nguyen.NTS ( nha cung cap) de chi them cho Su.
Co mot vai loi ma khi config co the Su loi, hoac.......
Lan sau khong duoc add nickname nhu the nhe, thuong tinh lam moi accept do.
Chuc thanh cong, hoc cua thoi, con lay chong nua chu.

dmt oi,
Minh da hoi nha cung cap roi nhung van sua khong duoc, minh se co gang ti`m ra loi cua no, co the khong do firewall tren Netscreen ma do hub, cable va NIC card... minh se doc lai manual.
Cam on ban.
Supt.

violeteyes,

bạn có thể mô tả sơ đồ mạng của bạn và các vấn đề mà bạn đang gặp phải được không?

;-)

cheers

P/S: I am glad to see both of you here...

Topology
Internet
/
NTU
/ S0: IP Public: 203.162.x.x /30
|
Router
|
Eth0: IP Public: 203.162.x.x/29
|
|
Untrusted: IP Public: 203.162.x.x/29
|
Netscreen
|
Trusted: IP 192.168.0.x/24
|
Hub
|
Client: 192.168.0.x/24

Firewall: cho phép mạng 192.168.0.x sử dụng SMTP port=25, HTTP port=80, DNS port=53, HTTPS port=443, FTP_get/put port=20.
Cấm telnet port=23.

Mình đã setup firewall trên Netscreen các client sử dụng được Internet nhưng chỉ chỉ có 1 số website không download được ví dụ trang www.symantec.net.....
Mình không tìm được lỗi????
violeteys.

violette,

thử xem log file của firewall ?

Minh

Bạn thử xem firewall có filter java script không ?. Một số firewall có chức năng filter HTTP chặn một số java script. Tối đã gặp trường hợp này trên Cisco IOS Firewall feature và phải bỏ http filter.

Các bạn giúp mình trị đúng bệnh của nó rồi, cám ơn nhiều lắm. đúng là firewall có filter java HTTP chặn Java Script.
Bây giờ mình lại gặp rắc rồi khác, hệ thồng mạng muốn firewall cho phép một số máy sử dụng Internet bình thường, và có một số máy chỉ được phép send/recieve mail Outlook express, và chỉ được truy cập đến trang www.Symantec.com để update virus, cấm tất cả cái còn lại.
Mình không biết chính xác IP address của www.symantec.com là bao nhieu??? vì mỗi lần ping www.symantec.com cho một địa chỉ khác nhau.
Cám ơn Thầy nhiều.

Violeteyes.

Thường thì trong firewall, ta có thể ngăn site access bằng IP hoặc tên miền. Trong trường hợp của bạn, nên dùng tên miền với điều kiện phải set-up đúng DNS server trong firewall.

không chắc lằm vì domain www.symantec.com cho ra nhiều địa chỉ IP quá. nếu vậy không biết sẽ set-up dns như thế nào.

hay là dùng dynamic dns?

Firewall trên Netscreen có hỗ trợ ngăn access đến website bắng tên miền, mình làm được rồi. Nhưng trong trường hợp Firewall trên Router không hỗ trợ tên miền nên mình muốn biết làm thế nào xác định được IP address. Mình không hiểu gì về Dynamic DNS ???

Firewall trên Netscreen có hỗ trợ ngăn access đến website bắng tên miền, mình làm được rồi. Nhưng trong trường hợp Firewall trên Router không hỗ trợ tên miền nên mình muốn biết làm thế nào xác định được IP address. Mình không hiểu gì về Dynamic DNS ???

Nếu bạn đã chặn ở netscreen rồi thì đâu cần làm cái đó ở router nữa? còn nếu bạn muốn triệt để thì nên setup proxy server rồi cho các client trong mạng LAN đi qua proxy ( dùng proxy cũng có nhiều cái lợi lắm ;) )

HTH

Trong trường hợp network nhỏ không sử dụng Netscreen, không có Server nên không sử dụng proxy được, mình muốn settup Firewall trên Router

Trong trường hợp network nhỏ không sử dụng Netscreen, không có Server nên không sử dụng proxy được, mình muốn settup Firewall trên Router

Dowload Cisco security guide here :
http://www.nsa.gov/snac/index.html

but I'm not sure can or not block a site access with router

to Chairuou & violeteyes,

Yes, you can block a site access with routers (at least mình biết Cisco 1700/2620 trở lên là dã support N2H2 Sentian, beside PIX và các devices khác). Với N2H2/Websence, bạn block dược nhiều web sites như bạn muốn.
At Cisco.com docs, search for keyword "content filtering" bạn sẽ find out nhiều solutions.
Thân,

Khi block access dựa trên tên Web site mà user tìm cách đi vòng qua FW bằng cách tới 1 Web site khác được Firewall cho phép và redirect tới Web site bị cấm thì phải làm thế nào?

"đi vòng qua FW bằng cách tới 1 Web site khác được Firewall cho phép và redirect tới Web site bị cấm thì phải làm thế nào?"

Qthi doán CCIE mean:
Web site khác redirect user traffic tới web site dang bị cấm?
If this is the case, redirected site phải có different URL (web address) thì user traffic mới reach dược. Như vậy, CCIE chỉ cần add new website vào url-filter của mình là êm chuyện. Nói khác di, sẽ không có trường-hợp:
"user tìm cách đi vòng qua FW" thành-công.
Tất-nhiên Qthi muốn nói dến trường-hợp nêu trên mà thôi!

Xin yên tâm :wink: ,

nếu vậy cứ ngồi mà canh chừng user xài site nào để redirect là chặn lại hả trên Internet có cả ti tỉ site như vậy cứ cấm như vậy biết chừng nào xong???

to Moderator

"nếu vậy cứ ngồi mà canh chừng user xài site nào để redirect là chặn lại"
Sẽ không có chuyện tiếu lâm nay nếu Moderator dọc kỹ:
"redirected site phải có different URL (web address) thì user traffic mới reach dược"
for example, user traffic muốn reach to blocked site hainchain.com thì site trung gian fải redirect that traffic to hainchain_1.com (vó'i cùng IP socket). Mà diều này Moderator lại không làm dược(!) vì DNS không cho phép.
Hơn nữa:
"có cả ti tỉ site", liệu Hainchain Inc có dủ tiền dể register "ti tỉ" domain names dể redirect to your own original site của mình không :?:

Trogn trường hợp BIG network thì người ta blockk luôn ở Proxy server, chuyện block và giám sát xem user truy nhập vào các site nào là chuyện không quá khó, trên *nix thì có squid còn windoze thì có nhiều phần mềm khá nổi tiếng trong việc filterring content ;) như Websense hay Surfcontrol
hai phần mềm này..liên tục update các blocked sites list từ server của nhà sản xuất để giúp bạn..block ;)..oh là la...chuyện đi vòng qua mọtt external proxy..trước sau gì cũng bị phát hiện ;)





to Moderator

"nếu vậy cứ ngồi mà canh chừng user xài site nào để redirect là chặn lại"
Sẽ không có chuyện tiếu lâm nay nếu Moderator dọc kỹ:
"redirected site phải có different URL (web address) thì user traffic mới reach dược"
for example, user traffic muốn reach to blocked site hainchain.com thì site trung gian fải redirect that traffic to hainchain_1.com (vó'i cùng IP socket). Mà diều này Moderator lại không làm dược(!) vì DNS không cho phép.
Hơn nữa:
"có cả ti tỉ site", liệu Hainchain Inc có dủ tiền dể register "ti tỉ" domain names dể redirect to your own original site của mình không :?:

Mình đã thử search but not found anything??? can you show me some links?

Thnks,


to Chairuou & violeteyes,

Yes, you can block a site access with routers (at least mình biết Cisco 1700/2620 trở lên là dã support N2H2 Sentian, beside PIX và các devices khác). Với N2H2/Websence, bạn block dược nhiều web sites như bạn muốn.
At Cisco.com docs, search for keyword "content filtering" bạn sẽ find out nhiều solutions.
Thân,

Không biết bây nhiêu links có dủ dể chairuou nhâm-nhi không?

http://www.cisco.com/warp/public/cc/pd/rt/1700/prodlit/2005_pp.htm

http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/1969_pp.htm

http://www.cisco.com/warp/public/cc/pd/rt/800/prodlit/2135_pp.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122relnt/2600/rn2600yt.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122relnt/3600/rn3600yt.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122limit/122y/122yu11/ftwebsen.htm

cheers

Cám ơn everybody,
Netscreen có hỗ trợ ngăn access website bằng tên miền, mình đã settup thành công.
Trong trường hợp không sử dụng firewall trên Netscreen, hệ thống mạng nhỏ không có server, mình muốn seteup Firewall trên Router nhưng Router của mình là Allied Telesyn - AR350 không phải Router của CISCO, Allied Telesyn không hỗ trợ ngăn acess website bằng tên miền chỉ cho phép IP, vậy làm sao biết chính xác IP của Website đó?

Thanks,
Lợi hại thiệt, sao tui cũng search ma hổng ra ;)
( tui cũng nghĩ rằng mình cũng không đến nối search tệ lắm :( )



Không biết bây nhiêu links có dủ dể chairuou nhâm-nhi không?

http://www.cisco.com/warp/public/cc/pd/rt/1700/prodlit/2005_pp.htm

http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/1969_pp.htm

http://www.cisco.com/warp/public/cc/pd/rt/800/prodlit/2135_pp.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122relnt/2600/rn2600yt.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122relnt/3600/rn3600yt.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122limit/122y/122yu11/ftwebsen.htm

cheers

sau khi nhâm nhi thì thấy cái này



Websense Server Requirement
To enable this feature, you must have at least one Websense server; however, two or more Websense
servers are preferred. Although there is no limit to the number of Websense servers you may have, and
you can configure as many servers as you wish, only one server will be active at any given time—the
primary server. URL look-up requests will be sent only to the primary server.


cái này thì giống nhu netscreen vậy thui à, cần phải có Websense server mà cái của nợ ấy thì...đắt thấy ông bà ông vải luôn :(

Đây là pricing list mà Asia-Pacific distributor của Websense gửi cho tui :

# of Users | 50-user | 100-user | 250-user | 500-user | 750-user | 1,000-user | 2,500-user | 5,000-user | 10,000-user
(Up to 50) (51 to 100) (101 to 250) (251 to 500) (501-750) (751 to 1,000) (1,001 to 2,500) (2,501-5,000) (5,001 to 10,000)
------------------------------------------------------------------------------------
Websense Enterprise $1,495 $2,495 $4,995 $7,495 $10,995 $13,995 $12.00/user $11.00/user $10.00/user
Premium Group I $250 $500 $1,250 $2,500 $3,750 $5,000 $4.75/user $4.50/user $4.00/user
Premium Group II $250 $500 $1,250 $2,500 $3,750 $5,000 $4.75/user $4.50/user $4.00/user
Premium Group III $250 $500 $1,250 $2,500 $3,750 $5,000 $4.75/user $4.50/user $4.00/user
Tech. Support 24x7 $1,000 $1,000 $1,000 $1,400 $2,000 $2,600 $2.30/user $2.10/user $1.80/user




Không biết bây nhiêu links có dủ dể chairuou nhâm-nhi không?

http://www.cisco.com/warp/public/cc/pd/rt/1700/prodlit/2005_pp.htm

http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/1969_pp.htm

http://www.cisco.com/warp/public/cc/pd/rt/800/prodlit/2135_pp.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122relnt/2600/rn2600yt.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122relnt/3600/rn3600yt.htm

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122limit/122y/122yu11/ftwebsen.htm

cheers