мои попытки сделать ограничения по URL выглядят следующим образом. Насколько я понял, есть несколько путей, при этом только один из них выглядит правильно, который к сожалению по каким-то причинам у меня не хочет работать так как надо. хотя на тестовых сетях все получилось.
1) (Правильный и простой) Правила усиленной фильтрации. не подскажу точно с какой версии. на 3.7.6 вроде появилось, могу ошибаться.
суть - это squid.
Помогал разбираться и победить Анатолий Юрасов.
как это работало в моих условиях, со своим ДНС:
а) необходимо чтобы КШ за которым живет объект которому нужно ограничить доступ мог стучаться до ДНС.
б) в свойствах КШ в ДНС указать его.
в) в ПУ ЦУС создать сертификат для SSL инспекции в котором выбрать привязку те/тот КШ за которым будет объект которому нужно ограничить доступ
г) установить полученный сертификат как корневой на машинах где будет ограничение (чтобы не ругалось на хттпс соединения)
д) в профилях усиленной фильтрации создать профили.
в моем случае это такие правила - белый список (вариант усиленной фильтрации http), белый аналогично для https, разрешить всё хттп, разрешить всё хттпс. команды и методы в агентах выбраны GET и POST. маска для "ВСЁ" выглядит как "./" без кавычек. в мануале опечатка и там .*
е) (цитирую Анатолия, надеюсь позволит) Создать в ФВ правила. отправитель - объект который нужно ограничить. действие - УФ. получатель - любой. профиль УФ - выбрать созданный. нужен исходящий нат у объекта.
"Соответственно если необходимо "разрешить всё кроме", то нужно создать ПФ с УФ разрешающим ./ и запрещающее ПФ с УФ запрещающим необходимый набор адресов
Запрещающее ставится перед разрешающим с "Применить и завершить обработку"
Если необходимо "запретить всё кроме" -
Запретить ./
Разрешить необходимый набор адресов
Разрешающее ПФ поставить перед запрещающим с "Применить и завершить обработку""
ж) должно работать. на тестовом стенде у меня все получилось, при том что тест проводился на боевом ЦУС, просто с другими сетями. но на продуктиве появились какие-то проблемы с которыми не было времени разобраться.
2) Путь РКН (сейчас живу по нему, стыдно)
это черный, а не белый список. посмотрел ресурсы которые интересуют народ, посмотрел их реальники, запретил нужным объектам ходить на них. забанены подсети бОльшая часть гугла, амазон итд итп (ютубы, соцсети там живут), забанил наши подсети маилру, вк, итд. теперь поисковик гугловый работать не хочет, часть ресурсов лагает т.к. при открытии страницы пытается загрузить гугл-аналитику или плагины какие-то со сторонних очень странных ресурсов, а не может. ждет таймаута. но пока так. планирую добить путь №1
3) теоритически рабочий путь, может поправят и скажут что не будет работать, но буду проверять на выходных.
сделать исходящий нат на объект не "любой" а конкретные адреса ресурсов с белого списка. днс по логике отрезолвит адрес, а исходящий нат пустит дальше. конечно если белый список большой - будет неудобно и + на каждом КШ надо делать отдельно. и смена адреса приведет к неработе ресурса но ведь это не так часто происходит. но ведь инженер континента готов к этому)
вот такие у меня пока приключения в этом направлении)
Когда-то тут писал на эту тему, может поможет чтт