Разрешить ТимВивер

Обсуждение ПО и его настройки
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Доброго всем дня или вечера, форумчане.
Есть задачка, в инете не особо много мануалов по решению.
Необходимо закрыть определенным хостам доступ в интернет, но разрешить тим и анидеск.
С дропом интернета - все понятно: forward, src-address - наш хост, далее дропаем и все ок. но вот как добавить в это правило исключения чтобы тим работал - загвоздка....
в адрес лист добавлено куча подсетей и адресов тима - не работает, l7 - не работает...
может есть у кого действенный способ?
К слову анидеск пролазиет без правил, не понимаю как....


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

дополняю тему. Нашел решение, но не очень идеальное. суть такова:
блокируем интернет через блок пакетов DNS - в итоге анидеск работает, а для тима делаем исключение в этом же правиле. Далее есть просблема на винде - значок глобуса, который говорит что не т инета. обходится правилом выше - разрешение контента msftncsi.
В итоге имеем:
Нет интернета на хосте, пинги проходят только на ip-адреса (8.8.8.8).
Не работают обновления винды
Нельзя подменить вручную dns на хосте
Значок интернета - обычный
Тим и анидеск работают

Недостаток - скорее всего будет работать tor. А также VPN и др.
Но такой цели нет, да и если рубить пакеты все - то нужно подбирать больше правил под эту задачу.
Если у кого есть идеи как сделать более элегантно - прошу делитесь.

Код: Выделить всё

add action=accept chain=forward comment=Accept_Allow_Inet_Windows content=\
    msftncsi dst-port=53 out-interface=ether18-WAN protocol=udp src-address=\
    192.168.0.161
add action=reject chain=forward comment=Drop_Inet_Over_Team-Any content=\
    !teamviewer dst-port=53 out-interface=ether18-WAN protocol=udp \
    reject-with=icmp-network-unreachable src-address=192.168.0.161
подставляйте свои интерфейсы и адреса хостов


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Skylear писал(а): 08 янв 2021, 22:56 дополняю тему. Нашел решение, но не очень идеальное. суть такова:
блокируем интернет через блок пакетов DNS - в итоге анидеск работает, а для тима делаем исключение в этом же правиле. Далее есть проблема на винде - значок глобуса, который говорит что не т инета. обходится правилом выше - разрешение контента msftncsi.
В итоге имеем:
Нет интернета на хосте, пинги проходят только на ip-адреса (8.8.8.8).
Не работают обновления винды
Нельзя подменить вручную dns на хосте
Значок интернета - обычный
Тим и анидеск работают

Недостаток - скорее всего будет работать tor. А также VPN и др.
Но такой цели нет, да и если рубить пакеты все - то нужно подбирать больше правил под эту задачу.
Если у кого есть идеи как сделать более элегантно - прошу делитесь.

Код: Выделить всё

add action=accept chain=forward comment=Accept_Allow_Inet_Windows content=\
    msftncsi dst-port=53 out-interface=ether18-WAN protocol=udp src-address=\
    192.168.0.161
add action=reject chain=forward comment=Drop_Inet_Over_Team-Any content=\
    !teamviewer dst-port=53 out-interface=ether18-WAN protocol=udp \
    reject-with=icmp-network-unreachable src-address=192.168.0.161
подставляйте свои интерфейсы и адреса хостов
Тим вьюер стучится на свои сервера типа router1,2,3..teamviewer.com.
Cоответственно достаточно запретить коннект к ним либо через регулярные выражения, либо через статические dns записи.
AMMYY стучится на ammyy.com.
ANYdesk ломится на свои сервера, список которых можно погуглить...Там просто диапазоны адресов, за которыми будете гоняться вечно

Ваши желания реализуются другими железками - сетевыми экранами, где есть DPI.
На Микротике гарантированно заблочить проблематично


mex79
Сообщения: 26
Зарегистрирован: 22 мар 2017, 12:26

Заблочить всё и разрешить белый список если необходим доступ на ограниченное число ресурсов, вот только тимвьювер в таком случае добавить в список разрешенных проблемно. Сам ищу решение для добавления тимки в список, пока решили проблему временным отключением блокирующего правила на короткое время для доступа стп. Сразу предупреждая вопрос скажу что тимвьювер используется для доступа к железкам на андройде, для пк вполне хватает других средств.


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Ипользует порт 5938. Как выше написали, боличте все, разрешаете нужное.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Я отказался от тимвьювера сразу с помощью внутреннего DNS сервера (Создал корневую зону teamviewer.com с ip 127.255.255.255). А доступ к энидеску перекрыл путем создания адреслиста relays.net.anydesk.com. Соответственно те, кому разрешен форвард на эти адреса, получают рабочий энидеск. Остальным запрещен.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Друзья, задача стоит конкретная (внимательно прочтите первый пост). Еще раз:
Станки на Win10, Win7. Нужно закрыть доступ к интернету (чтобы не могли пользоваться браузером, поэтому не нужен 100 процентный способ, на поиски VPN-ов и Tor-а у сотрудников времени нет, никто не будет разбираться если просто инет не откроется), но нужно оставить тимвивер и анидеск (только две этих программы, они нужны для саппорта), а также с запретом через DNS, как я написал выше, мы сталкиваемся с проблемой значка интернета в трее - он показывает что инета нет, а это критично, так как компы используют ресурсы сети. И сотрудники могут развести панику и бросить работать.)) Поэтому я и добавил правило с исключением "msftncsi".
Прошу, если у кого есть идеи как сделать более правильно - в студию
1) Каким способом можно заблочить доступ в инет
2) Как после 1-го правила открыть саппорт


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.

Вот пример того, как я это сделал у себя:

Код: Выделить всё

/ip firewall address-list
add address=vk.com list=BlockSite
add address=m.vk.com list=BlockSite
add address=ok.ru list=BlockSite
add address=m.ok.ru list=BlockSite
add address=facebook.com list=BlockSite
add address=192.168.168.154 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.187 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.200 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=10.0.0.20 list=AllAllowUsers
add address=10.0.0.69 list=AllAllowUsers
add address=ru-ru.facebook.com list=BlockSite
add address=twitter.com list=BlockSite
add address=pikabu.ru list=BlockSite
add address=instagram.com list=BlockSite
add address=www.instagram.com list=BlockSite
add address=relays.net.anydesk.com comment=anydesk list=BlockSite
add address=rl.ammyy.com comment=ammyy list=BlockSite
add address=auth9.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth10.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth11.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth12.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth13.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth14.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth15.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth16.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth17.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth18.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth19.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth20.aeroadmin.com comment=aeroadmin list=BlockSite
add address=remotedesktop-pa.googleapis.com list=googleRDS
add address=remotedesktop.google.com list=googleRDS
add address=89.108.101.61 comment=litemanager list=BlockSite
add address=91.240.86.200 comment=litemanager list=BlockSite
add address=imap.yandex.ru list=AllowYandexMail
add address=smtp.yandex.ru list=AllowYandexMail
add address=10.0.0.0/23 list=LAN
add address=192.168.168.0/24 list=LAN
add address=zen.yandex.ru list=BlockSite
add address=api.skype.com comment=skype list=BlockSite
add address=apps.skype.com comment=skype list=BlockSite
add address=community.skype.com comment=skype list=BlockSite
add address=download.skype.com comment=skype list=BlockSite
add address=login.skype.com comment=skype list=BlockSite
add address=pipe.skype.com comment=skype list=BlockSite
add address=secure.skype.com comment=skype list=BlockSite
add address=www.skype.com comment=skype list=BlockSite
add address=www.skypeassets.com comment=skype list=BlockSite
add address=clientlogin.cdn.skype.com comment=skype list=BlockSite
add address=mobile.pipe.aria.microsoft.com comment=skype list=BlockSite
add address=login.live.com comment=skype list=BlockSite
add address=sbi.sberbank.ru list=Sberbank
add address=bf.sberbank.ru list=Sberbank
add address=ftls.sberbank.ru list=Sberbank

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 in-interface-list=InterNet protocol=tcp
add action=accept chain=forward src-address-list=AllAllowUsers
add action=accept chain=forward src-address-list=VoIP-GW
add action=drop chain=forward dst-address-list=!LAN src-address-list=BlockedLocalSources
add action=drop chain=forward dst-address-list=BlockSite
add action=drop chain=forward comment="google remote desktop" dst-address-list=googleRDS src-address-list=!Secretar
add action=accept chain=forward dst-address-list=AllowYandexMail
add action=accept chain=forward disabled=yes dst-address=188.128.56.18 src-address-list=LAN
add action=accept chain=forward dst-port=80,443 protocol=tcp
add action=accept chain=forward dst-address-list=Sberbank dst-port=9443 protocol=tcp src-address-list=BUH_Sberbank
add action=drop chain=forward dst-address-list=!LAN src-address-list=LAN
add action=drop chain=input in-interface-list=InterNet
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

коллега, опробую, отпишусь


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Inner писал(а): 13 янв 2021, 10:55 Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.

Вот пример того, как я это сделал у себя:

Код: Выделить всё

/ip firewall address-list
add address=vk.com list=BlockSite
add address=m.vk.com list=BlockSite
add address=ok.ru list=BlockSite
add address=m.ok.ru list=BlockSite
add address=facebook.com list=BlockSite
add address=192.168.168.154 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.187 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.200 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=10.0.0.20 list=AllAllowUsers
add address=10.0.0.69 list=AllAllowUsers
add address=ru-ru.facebook.com list=BlockSite
add address=twitter.com list=BlockSite
add address=pikabu.ru list=BlockSite
add address=instagram.com list=BlockSite
add address=www.instagram.com list=BlockSite
add address=relays.net.anydesk.com comment=anydesk list=BlockSite
add address=rl.ammyy.com comment=ammyy list=BlockSite
add address=auth9.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth10.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth11.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth12.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth13.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth14.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth15.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth16.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth17.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth18.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth19.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth20.aeroadmin.com comment=aeroadmin list=BlockSite
add address=remotedesktop-pa.googleapis.com list=googleRDS
add address=remotedesktop.google.com list=googleRDS
add address=89.108.101.61 comment=litemanager list=BlockSite
add address=91.240.86.200 comment=litemanager list=BlockSite
add address=imap.yandex.ru list=AllowYandexMail
add address=smtp.yandex.ru list=AllowYandexMail
add address=10.0.0.0/23 list=LAN
add address=192.168.168.0/24 list=LAN
add address=zen.yandex.ru list=BlockSite
add address=api.skype.com comment=skype list=BlockSite
add address=apps.skype.com comment=skype list=BlockSite
add address=community.skype.com comment=skype list=BlockSite
add address=download.skype.com comment=skype list=BlockSite
add address=login.skype.com comment=skype list=BlockSite
add address=pipe.skype.com comment=skype list=BlockSite
add address=secure.skype.com comment=skype list=BlockSite
add address=www.skype.com comment=skype list=BlockSite
add address=www.skypeassets.com comment=skype list=BlockSite
add address=clientlogin.cdn.skype.com comment=skype list=BlockSite
add address=mobile.pipe.aria.microsoft.com comment=skype list=BlockSite
add address=login.live.com comment=skype list=BlockSite
add address=sbi.sberbank.ru list=Sberbank
add address=bf.sberbank.ru list=Sberbank
add address=ftls.sberbank.ru list=Sberbank

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 in-interface-list=InterNet protocol=tcp
add action=accept chain=forward src-address-list=AllAllowUsers
add action=accept chain=forward src-address-list=VoIP-GW
add action=drop chain=forward dst-address-list=!LAN src-address-list=BlockedLocalSources
add action=drop chain=forward dst-address-list=BlockSite
add action=drop chain=forward comment="google remote desktop" dst-address-list=googleRDS src-address-list=!Secretar
add action=accept chain=forward dst-address-list=AllowYandexMail
add action=accept chain=forward disabled=yes dst-address=188.128.56.18 src-address-list=LAN
add action=accept chain=forward dst-port=80,443 protocol=tcp
add action=accept chain=forward dst-address-list=Sberbank dst-port=9443 protocol=tcp src-address-list=BUH_Sberbank
add action=drop chain=forward dst-address-list=!LAN src-address-list=LAN
add action=drop chain=input in-interface-list=InterNet
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Коллега не прав. Тим вьюер прекрасно перекрывается простым статическим ДНС. Всего лишь нужно routerXteamviewer.com резолвить во что то несуществующее и тим вьюер умрёт, где X-router1,2,3, и т.д.


Ответить