Разрешить ТимВивер

Обсуждение ПО и его настройки
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Skylear писал(а): 13 янв 2021, 09:57 Друзья, задача стоит конкретная (внимательно прочтите первый пост). Еще раз:
Станки на Win10, Win7. Нужно закрыть доступ к интернету (чтобы не могли пользоваться браузером, поэтому не нужен 100 процентный способ, на поиски VPN-ов и Tor-а у сотрудников времени нет, никто не будет разбираться если просто инет не откроется), но нужно оставить тимвивер и анидеск (только две этих программы, они нужны для саппорта), а также с запретом через DNS, как я написал выше, мы сталкиваемся с проблемой значка интернета в трее - он показывает что инета нет, а это критично, так как компы используют ресурсы сети. И сотрудники могут развести панику и бросить работать.)) Поэтому я и добавил правило с исключением "msftncsi".
Прошу, если у кого есть идеи как сделать более правильно - в студию
1) Каким способом можно заблочить доступ в инет
2) Как после 1-го правила открыть саппорт
Можно сделать так:
как я описал выше, тим конектится к своим серверам
router1.teamviewer.com
roiter2.teamviewer.com
.....
routerX.teamviewer.com
Ammy конектится только к ammyy.com

Создайте Address List. Добавьте туда доменные имена ( современные прошивки ip-шники отрезолвят сами)
Разрешите форвард из локалки в этот адрес лист
Ниже запретите форвард из бриджа в инет.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

imaoskol писал(а): 13 янв 2021, 21:38
Inner писал(а): 13 янв 2021, 10:55 Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.

Вот пример того, как я это сделал у себя:

Код: Выделить всё

/ip firewall address-list
add address=vk.com list=BlockSite
add address=m.vk.com list=BlockSite
add address=ok.ru list=BlockSite
add address=m.ok.ru list=BlockSite
add address=facebook.com list=BlockSite
add address=192.168.168.154 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.187 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.200 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=10.0.0.20 list=AllAllowUsers
add address=10.0.0.69 list=AllAllowUsers
add address=ru-ru.facebook.com list=BlockSite
add address=twitter.com list=BlockSite
add address=pikabu.ru list=BlockSite
add address=instagram.com list=BlockSite
add address=www.instagram.com list=BlockSite
add address=relays.net.anydesk.com comment=anydesk list=BlockSite
add address=rl.ammyy.com comment=ammyy list=BlockSite
add address=auth9.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth10.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth11.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth12.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth13.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth14.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth15.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth16.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth17.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth18.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth19.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth20.aeroadmin.com comment=aeroadmin list=BlockSite
add address=remotedesktop-pa.googleapis.com list=googleRDS
add address=remotedesktop.google.com list=googleRDS
add address=89.108.101.61 comment=litemanager list=BlockSite
add address=91.240.86.200 comment=litemanager list=BlockSite
add address=imap.yandex.ru list=AllowYandexMail
add address=smtp.yandex.ru list=AllowYandexMail
add address=10.0.0.0/23 list=LAN
add address=192.168.168.0/24 list=LAN
add address=zen.yandex.ru list=BlockSite
add address=api.skype.com comment=skype list=BlockSite
add address=apps.skype.com comment=skype list=BlockSite
add address=community.skype.com comment=skype list=BlockSite
add address=download.skype.com comment=skype list=BlockSite
add address=login.skype.com comment=skype list=BlockSite
add address=pipe.skype.com comment=skype list=BlockSite
add address=secure.skype.com comment=skype list=BlockSite
add address=www.skype.com comment=skype list=BlockSite
add address=www.skypeassets.com comment=skype list=BlockSite
add address=clientlogin.cdn.skype.com comment=skype list=BlockSite
add address=mobile.pipe.aria.microsoft.com comment=skype list=BlockSite
add address=login.live.com comment=skype list=BlockSite
add address=sbi.sberbank.ru list=Sberbank
add address=bf.sberbank.ru list=Sberbank
add address=ftls.sberbank.ru list=Sberbank

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 in-interface-list=InterNet protocol=tcp
add action=accept chain=forward src-address-list=AllAllowUsers
add action=accept chain=forward src-address-list=VoIP-GW
add action=drop chain=forward dst-address-list=!LAN src-address-list=BlockedLocalSources
add action=drop chain=forward dst-address-list=BlockSite
add action=drop chain=forward comment="google remote desktop" dst-address-list=googleRDS src-address-list=!Secretar
add action=accept chain=forward dst-address-list=AllowYandexMail
add action=accept chain=forward disabled=yes dst-address=188.128.56.18 src-address-list=LAN
add action=accept chain=forward dst-port=80,443 protocol=tcp
add action=accept chain=forward dst-address-list=Sberbank dst-port=9443 protocol=tcp src-address-list=BUH_Sberbank
add action=drop chain=forward dst-address-list=!LAN src-address-list=LAN
add action=drop chain=input in-interface-list=InterNet
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Коллега не прав. Тим вьюер прекрасно перекрывается простым статическим ДНС. Всего лишь нужно routerXteamviewer.com резолвить во что то несуществующее и тим вьюер умрёт, где X-router1,2,3, и т.д.
Прав. Я выше говорил, что отказался от тимвьювера путем его запрета на уровне dns (резолв корневой зоны в 127.0.0.1). А адресов routerX не достаточно. У них их полно по всему миру. + есть ещё relayX. И тем не менее здесь человеку нужен тимвьювер. Значит достаточно оставить открытым 443 порт (или иной, который тимвьювер использует).


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

imaoskol писал(а): 13 янв 2021, 21:38
Inner писал(а): 13 янв 2021, 10:55 Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.

Вот пример того, как я это сделал у себя:

Код: Выделить всё

/ip firewall address-list
add address=vk.com list=BlockSite
add address=m.vk.com list=BlockSite
add address=ok.ru list=BlockSite
add address=m.ok.ru list=BlockSite
add address=facebook.com list=BlockSite
add address=192.168.168.154 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.187 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.200 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=10.0.0.20 list=AllAllowUsers
add address=10.0.0.69 list=AllAllowUsers
add address=ru-ru.facebook.com list=BlockSite
add address=twitter.com list=BlockSite
add address=pikabu.ru list=BlockSite
add address=instagram.com list=BlockSite
add address=www.instagram.com list=BlockSite
add address=relays.net.anydesk.com comment=anydesk list=BlockSite
add address=rl.ammyy.com comment=ammyy list=BlockSite
add address=auth9.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth10.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth11.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth12.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth13.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth14.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth15.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth16.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth17.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth18.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth19.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth20.aeroadmin.com comment=aeroadmin list=BlockSite
add address=remotedesktop-pa.googleapis.com list=googleRDS
add address=remotedesktop.google.com list=googleRDS
add address=89.108.101.61 comment=litemanager list=BlockSite
add address=91.240.86.200 comment=litemanager list=BlockSite
add address=imap.yandex.ru list=AllowYandexMail
add address=smtp.yandex.ru list=AllowYandexMail
add address=10.0.0.0/23 list=LAN
add address=192.168.168.0/24 list=LAN
add address=zen.yandex.ru list=BlockSite
add address=api.skype.com comment=skype list=BlockSite
add address=apps.skype.com comment=skype list=BlockSite
add address=community.skype.com comment=skype list=BlockSite
add address=download.skype.com comment=skype list=BlockSite
add address=login.skype.com comment=skype list=BlockSite
add address=pipe.skype.com comment=skype list=BlockSite
add address=secure.skype.com comment=skype list=BlockSite
add address=www.skype.com comment=skype list=BlockSite
add address=www.skypeassets.com comment=skype list=BlockSite
add address=clientlogin.cdn.skype.com comment=skype list=BlockSite
add address=mobile.pipe.aria.microsoft.com comment=skype list=BlockSite
add address=login.live.com comment=skype list=BlockSite
add address=sbi.sberbank.ru list=Sberbank
add address=bf.sberbank.ru list=Sberbank
add address=ftls.sberbank.ru list=Sberbank

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 in-interface-list=InterNet protocol=tcp
add action=accept chain=forward src-address-list=AllAllowUsers
add action=accept chain=forward src-address-list=VoIP-GW
add action=drop chain=forward dst-address-list=!LAN src-address-list=BlockedLocalSources
add action=drop chain=forward dst-address-list=BlockSite
add action=drop chain=forward comment="google remote desktop" dst-address-list=googleRDS src-address-list=!Secretar
add action=accept chain=forward dst-address-list=AllowYandexMail
add action=accept chain=forward disabled=yes dst-address=188.128.56.18 src-address-list=LAN
add action=accept chain=forward dst-port=80,443 protocol=tcp
add action=accept chain=forward dst-address-list=Sberbank dst-port=9443 protocol=tcp src-address-list=BUH_Sberbank
add action=drop chain=forward dst-address-list=!LAN src-address-list=LAN
add action=drop chain=input in-interface-list=InterNet
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Коллега не прав. Тим вьюер прекрасно перекрывается простым статическим ДНС. Всего лишь нужно routerXteamviewer.com резолвить во что то несуществующее и тим вьюер умрёт, где X-router1,2,3, и т.д.
Верно. ДНС его блочит. L7 работает через раз. Прошло время и я забыл про эту тему. Правильным решением будет создать днс в космос, ну или на 127.0.0.1


Ответить