საშინელი სეთაფია მინდა გითხრა. ძალიან არაოპტიმალური traffic flow გექნება განსაკუთრებით თუ აქტიური იუზერები გყავს.
ბრენჩის იუზერმა რამე დიდი ფაილების ქაჩვა რომ დაიწყონ ინტერნეტიდან, მოგიკლავს მთლიანად ქონექშენს იმიტო რომ შენი სათაო ოფისის გარეთ გამავალი ინტერფეისი იქნება bottleneck.
უყურე - ობიექტიდან წამოსული TCP SYN მოდის ჩერეზ რაღაც VPN ტუნელი და ხვდება შენი სათაო ოფისის ცისკოს outside ინტერფეისზე, მერე შენი სათაოს როუტერი დეშიფრაციას უკეთებს ამ დაკრიპტულ TCP SYNს, მერე უგზავნის თავის default route რაც აქვს იმით პროვაიდერის როუტერს (outside interface ისევ), მერე ჰაი ჰუი პროვაიდერებს შორის და საბოლოო ჯამში ობიექტისკენ მიმავალი TCP ACK პაკეტი მოგდის ისევ სათაოს როუტერის outside ინტერფეისზე, მერე კრიპტავ და უგზავნი ისევ და ისევ outside ინტერფეისით ობიექტის outside ინტერფეისს. რატო პროსტა?
თუ შენი ამოცანაა ის რომ ობიექტების ტრაფიკი გაფილტრო და იქ მყოფი იუზერები ათას უბედურობა საიტებზე არ შევიდნენ, მარტივ ხერხს გასწავლი ეხლა რომელიც მშვენივრად მუშაობს
ჯობია ინტერნეტში გასვლა დაუტოვო ობიექტებს თავიანთი ცისკოების გავლით და მარტო head office-ს კორპორატიულ რესურსზე (მეილი, AD, ა.შ) ჩვეულებრივი site2site VPNით მიაერთო
ინტერნეტისკენ მიმავალი ტრაფიკის "გაფილტვრას" რაც შეეხება.
1: დარეგისტრირდი opendns.com-ზე
2: opendns-ს აქვს გადასარევი დომეინების ფილტრი კატეგორიების მიხედვით. აირჩიე რომელი კატეგორიაც გინდა და სეთინგებში დაუმატე ყველა ბრენჩის public IP
3: ბრენჩების ცისკოებზე გაუწერე შემდეგი აქსეს ლისტი
----------- permit udp [LAN Subnet] 208.67.222.222 eq 53 ----------------
----------- permit udp [LAN Subnet] 208.67.220.220 eq 53 ----------------
----------- deny udp any any eq 53 ---------------- (თუ შეცვალეს ipconfig-ში DNS სეთინგები, ეს აქსეს ლისტი დაუბლოკავს dns lookup-ს)
----------- permit ip any any ---------------- სხვა დანარჩენი ტრაფიკის permit
4: მიაბი ეს აქსეს ლისტი შენი ბრენჩების LAN ინტერფეისებს """IN""" მიმართულებით, ip access-group [ACL] in
5: DHCP სერვერზე DNS IP გაუწერე 208.67.222.222 და 208.67.220.220
თუ დაუშვათ ჰედ ოფისში გიყენია რამე ლოკალური DNS სერვერი და ყველა ბრენიჩი ამას ხმარობს, მაშინ მაგის ფორვარდერი შეცვალე opendns-ის IPებით და ეგაა.
დაჟე დაბლოკილი საიტის IP მისამართით რო სცადო, მაინც არ უშვებს. ძალიან ძლიერი რამეა opendns.. უძალიანესად მაგარი რამე!