Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Skylear писал(а): ↑13 янв 2021, 09:57
Друзья, задача стоит конкретная (внимательно прочтите первый пост). Еще раз:
Станки на Win10, Win7. Нужно закрыть доступ к интернету (чтобы не могли пользоваться браузером, поэтому не нужен 100 процентный способ, на поиски VPN-ов и Tor-а у сотрудников времени нет, никто не будет разбираться если просто инет не откроется), но нужно оставить тимвивер и анидеск (только две этих программы, они нужны для саппорта), а также с запретом через DNS, как я написал выше, мы сталкиваемся с проблемой значка интернета в трее - он показывает что инета нет, а это критично, так как компы используют ресурсы сети. И сотрудники могут развести панику и бросить работать.)) Поэтому я и добавил правило с исключением "msftncsi".
Прошу, если у кого есть идеи как сделать более правильно - в студию
1) Каким способом можно заблочить доступ в инет
2) Как после 1-го правила открыть саппорт
Можно сделать так:
как я описал выше, тим конектится к своим серверам
router1.teamviewer.com
roiter2.teamviewer.com
.....
routerX.teamviewer.com
Ammy конектится только к ammyy.com
Создайте Address List. Добавьте туда доменные имена ( современные прошивки ip-шники отрезолвят сами)
Разрешите форвард из локалки в этот адрес лист
Ниже запретите форвард из бриджа в инет.
Inner писал(а): ↑13 янв 2021, 10:55
Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Коллега не прав. Тим вьюер прекрасно перекрывается простым статическим ДНС. Всего лишь нужно routerXteamviewer.com резолвить во что то несуществующее и тим вьюер умрёт, где X-router1,2,3, и т.д.
Прав. Я выше говорил, что отказался от тимвьювера путем его запрета на уровне dns (резолв корневой зоны в 127.0.0.1). А адресов routerX не достаточно. У них их полно по всему миру. + есть ещё relayX. И тем не менее здесь человеку нужен тимвьювер. Значит достаточно оставить открытым 443 порт (или иной, который тимвьювер использует).
Inner писал(а): ↑13 янв 2021, 10:55
Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Коллега не прав. Тим вьюер прекрасно перекрывается простым статическим ДНС. Всего лишь нужно routerXteamviewer.com резолвить во что то несуществующее и тим вьюер умрёт, где X-router1,2,3, и т.д.
Верно. ДНС его блочит. L7 работает через раз. Прошло время и я забыл про эту тему. Правильным решением будет создать днс в космос, ну или на 127.0.0.1