Запретить программы удаленного управления TeamViewer&AnyDesk&etc

[Inner]

6. Вишенка на торте. TeamViewer. Средствами микротика НЕРЕШАЕМО (!!!).

Я тим тоже заблокировал.
Для меня важным условием является поддержка возможности белых списков при заранее согласованном уделенном доступе. Реализовал на основе L7 и маркировки соединений и пакетов на 53 порт по выше приводимой схеме, плюс адрес листа с последующим дропом всего фаерволом. Ну и редиректа на микрот потенциальных запросов от пользователей (софта) на сторонние днс. Сейчас уверенно в бесконечном подключении тим, эни и амми. Далее хочу посмотреть Google Remote Desktop, который вы раскуривали, но описанные побочки мне уже вызывают беспокойство.

С L7 тоже не всё гладко. Отрабатывает через раз. Уж лучше тогда полностью запретить тим, а для таких вещей одобрить энидеск. А побочек не избежать, так как гугловский РДС использует практически теже самые айпишники, что и другие его сервисы. Так что тут никак.

[Inner]

С L7 тоже не всё гладко. Отрабатывает через раз.

На L7 производится отбор соединений и пакетов не только для тима, но и для остальных прог, в связке с последующей маркировкой для снижения нагрузки на железо. Пока блокируется все четко. Адрес-листы (в частности для эни) как вспомогательный дополняющий инструментарий уже, но их я тоже в маркировку засунул, чтобы потом двумя едиными правилами фаервола дропать все.

Уж лучше тогда полностью запретить тим, а для таких вещей одобрить энидеск.

Рассматривал, если с тимом возникнут проблемы, то его да, удобнее погасить полностью, а доступ по согласованной надобности давать уже в эни.

Вот об этом я и говорю. L7 хорош, если очень грамотно настроен. Я через него торренты блочу. В части тимвьювера отказался от такого правила, так как моментами все 8 ядер загружались под 100%. Не на долго, но уж сильно меня такое напрягает.

[Inner]

По тиму уже давно удалил. Так что придумывать заново не стану, чтобы не соврать. Но вот с торрентами всё как часы.

В L7

Код: Выделить всё

add name=torrent-www regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitno\
    va|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
add name=torrent-dns regexp="^.+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|\
    meganova|fulldls|btbot|fenopy|gpirate|commonbits|bittorrent|bit-torrent).*\$"
add name=torrent-dht regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"

В Mangle

Код: Выделить всё

add action=mark-connection chain=prerouting comment=torrent-www layer7-protocol=torrent-www new-connection-mark=torrent-con passthrough=yes
add action=mark-connection chain=prerouting comment=torrent-dns layer7-protocol=torrent-dns new-connection-mark=torrent-con passthrough=yes
add action=mark-connection chain=prerouting comment=torrent-dht layer7-protocol=torrent-dht new-connection-mark=torrent-con passthrough=yes
add action=mark-packet chain=prerouting comment=torrent connection-mark=torrent-con new-packet-mark=torrent-packet passthrough=no

В Queue Simple

Код: Выделить всё

add dst=ether1 max-limit=10M/10M name=TorrentsForVIP packet-marks=torrent-packet target=10.0.0.20/32
add dst=ether1 max-limit=64k/64k name=TorrentsForAll packet-marks=torrent-packet target=MAIN-bridge

В моём случае не стояло приоритетом абсолютный блок по ряду причин, но усложнить жизнь тем, кому пользоваться торрентами нельзя вполне было нужно. В целом не сложно переделать и на блокировку.

[gmx]

А вот про торренты интересно....
Inner, вы уверены, что они действительно блочатся.... Или все-таки блочатся все сайты, где встречаются такие слова???
Можно сказать, что вы нам сейчас америку открыли, никто не может толком заблочить, а у вас прям получилось????

[Inner]

А вот про торренты интересно....
Inner, вы уверены, что они действительно блочатся.... Или все-таки блочатся все сайты, где встречаются такие слова???
Можно сказать, что вы нам сейчас америку открыли, никто не может толком заблочить, а у вас прям получилось????

Кто ещё кому америку открыл)) Я не думал что это такая сверх задача) И да. Ограничение отрабатывает на ура. Тестировал с разными торрентами. Первые 5 страниц гугла по запросу "Торрент трекер", все ограничиваются. Причем как сайты, так и сами торренты с них (брал рандомные). Тестил в прогах uTorrent и MediaGet. Как я уже сказал, по некоторым причинам у меня нет задачи строго блокировать. Может быть с дропами и будет что-то не так. А может и нет.

[Inner]

Ок, спасибо.
Просто удивило, почему схожий и более легкий алгоритм использования L7 для блокировки тима у вас вызывал озвученный прогруз оборудования, а поджатие по скорости торрентов справляется с этим нормально.
Кстати, в Mangle с mark-packet уже passthrough=no используете?

Вот честно, я в этом тогда и не стал разбираться. Как уже говорил, вариант с ДНС мне идеально подошел и я на нём остановился. Могу предположить, что, возможно, то был баг прошивки. Не знаю. Знаю, что на тот момент, как я не старался, но средствами микротика ни в какую не блокировалось. Даже скрипт в поше катал, пытаясь все адреса тима вычислить. Выяснил, что пока открыт 443 порт он будет щимиться по всему миру и даже свои тунели создаст при первой возможности.

И с манглом да. Это по сути собирательная маркировка по 3 направлениям торрента (сайты, днс и дхт). Всё важное происходит на первых трёх маркировках.