这可能很简单。这是我到达之前设置的,一直在努力阻止 Facebook。我最近删除了一些静态端口转发2691(也就是说,我认为其他任何事情都没有改变),现在 Facebook 又可以访问了。
为什么这个列表没有发挥它应该发挥的作用(以及曾是正在做什么?扩展出站 ACL 是否更合适(如果一开始我就负责创建这个 ACL,我想我会这么想)?有什么不同吗?
下面我列出了我认为与配置相关的部分。
interface FastEthernet0/0
ip address my.pub.ip.add my.ip.add.msk
ip access-group 1 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
access-list 1 deny 69.171.224.0 0.0.31.255
access-list 1 deny 74.119.76.0 0.0.3.255
access-list 1 deny 204.15.20.0 0.0.3.255
access-list 1 deny 66.220.144.0 0.0.15.255
access-list 1 deny 69.63.176.0 0.0.15.255
access-list 1 permit any
ip nat inside source list 105 interface FastEthernet0/0 overload
access-list 105 deny ip 192.168.0.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 105 permit ip 192.168.1.0 0.0.0.255 any
编辑
ACL 再次封锁 Facebook。以下是感兴趣的人的新定义...
access-list 1 deny 66.220.144.0 0.0.7.255
access-list 1 deny 66.220.152.0 0.0.7.255
access-list 1 deny 69.63.176.0 0.0.7.255
access-list 1 deny 69.63.176.0 0.0.0.255
access-list 1 deny 69.63.184.0 0.0.7.255
access-list 1 deny 69.171.224.0 0.0.15.255
access-list 1 deny 69.171.239.0 0.0.0.255
access-list 1 deny 69.171.240.0 0.0.15.255
access-list 1 deny 69.171.255.0 0.0.0.255
access-list 1 deny 74.119.76.0 0.0.3.255
access-list 1 deny 173.252.64.0 0.0.31.255
access-list 1 deny 173.252.70.0 0.0.0.255
access-list 1 deny 173.252.96.0 0.0.31.255
access-list 1 deny 204.15.20.0 0.0.3.255
access-list 1 permit any
答案1
Facebook 正在运营自己的网络,因此向其他网络(即互联网)公布其地址范围边界网关协议。
使用公共BGP 窥镜或者直接将 BGP 馈送到您的路由器,可以通过查看具有 AS32934 的路由来了解这些范围(Facebook自治系统编号) 在路径中。
虽然这非常方便(将所有 AS32934 前缀路由为空),但并不是每个人都具备 BGP 知识,人们可以看看Facebook 公布的前缀在 HurricaneElectric 的网站上。但是,此列表应手动更新,因为 Facebook 可以添加新的前缀。
使用此列表,可以很容易地使用路由器上的简单访问列表来阻止 Facebook。
由于 Facebook 现在也使用 ipv6,您还应该在 FastEthernet0/0 接口上添加一个 ipv6 访问列表少数网络宣布如果您的网络启用了 IPv6。
但要小心,如果 Facebook 使用内容分发网络 (CDN)与 Akamai 类似,服务器(反向代理/缓存)的地址可能在 CDN 的 IP 地址范围内,而不是在 Facebook 的范围内。
答案2
我怀疑 Facebook 只是增加了一些新的 IP 地址空间。端口转发或缺乏端口转发应该不会对您的入站访问列表产生任何影响。您从哪里获得 Facebook 的 IP 地址列表?