Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Попробуйте адреса в этом виде развернуть на 127.0.0.1 на DNS static
Ну и конечно помним об establised и related соединениях. То есть уже установленные соединения не пропадут по мановению волшебной палочки. Только со временем или после принудительного отключения всех соединений и паузы...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Возможно вопрос нужно решать другим способом - на рабочих станциях запретить использование и даже запуск посторонних програм с помощю Software Restriction Policies ?
Вообще, конечно, правы те админы, которые в подобных случаях начинают жестко регламентировать работу не только самой сети, но и устройств в ней. Не смотря на сопротивление хитропопых сотрудников. Грамотно составленная докладная с реальными данными на столе у руководства в большинстве случаев приводит к нужным результатам. Они у всех разные.
* По одной схеме рабочие станции сотрудников получают возможность подключаться лишь к ограниченному числу хостов.
* По другой схеме сотрудник получает ограниченное число трафика в месяц и при перерасходе не имеет выхода в сеть до конца месяца без объяснительной на имя руководства.
* Станции строго админятся, обычные юзеры имеют минимум прав. Запрет на запуск левых программ ( в том числе и portable).
* Все вводятся в домен, администрирование не в пример гибче.
* Пускаем все через программу для контроля за трафиком, результаты ежемесячно на стол к руководству с комментариями по злостным нарушения.
Вон попросите, народ поделится рабочими схемами, на их основе построите свою.
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ещё раз:
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ну-ну, то-то я смотрю тут в теме прям отбою нет от желающих поизобретать средствами Микротика. Удачи...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Мои эксперименты привели к следующему:
1) teamviewer блочится достаточно легко. Все адреса к которым он конектится начинаются на routerX.teamviewer.com где X-цифра от 1 до...... Поэтому тут нам в помощь статический DNS
2) ammyy блочится также по доменному имени
3) anydesk Эта зараза использует диапазон адресов, мне так и не удалось все их в сети найти и заблокировать
Я использую PiHole, где на основе регулярных выражений блокирую teamviewer и ammyy
По поводу избирательно блокировать. Микротик это маршрутизатор а не сетевой экран. Да многие вещи можно сделать в нём через жопу слона на лыжных палках, но для Ваших задач есть вполне конкретные устройства: называются они сетевые экраны ну или на крайняк прокси сервера. Реализовать все хотелки в микротике....Ну можно наверное...маркировка пакетов, скрипты..... пробуйте, учитесь))
mrrc писал(а): ↑17 апр 2021, 10:14
UPD.
Вот сейчас на время опять вернувшись к вопросу, Эни полностью глушится добавлением в адрес-лист с последующей блокировкой доменного имени
relays.net.anydesk.com, которое резолвится в свою очередь в порядка 400 айпишников. Глубоко не тестил, но Эни ушел в вечное соединение с сетью.
А вот сейчас не понял что-то. Я же давал ссылку, там русским языком написано:
Чтобы заблокировать полностью, нужно на DNS сервере блокировать адреса по регулярному выражению:
.+\.teamviewer\.com
.....AnyDesk блокируется аналогичным образом через regexp или фаервол:
/ip dns static add address=127.0.0.1 regexp=".+\\.anydesk\\.com"
Просто, чтобы не резолвить 400+ адресов...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ну не знаю, возможно. Хотя по логике вещей в статике все запросы из диапазона, описанного в регулярном выражении, направляются на прописанный IP-адрес ( в приведённом примере это 127.0.0.1). Тот же резолв выходит, только обрабатывается он на своём DNS, и наружу не выпускается.
Тут уж или регулярка неточная, или кэш остался, или соединения не погашены были. Вообще, такие настройки мною не очень любимы. Потому что как правило не учтешь какую-нибудь мелочь и тянется эта канитель несколько дней. А потом бац! да работает же всё, что ты копаешься! Впрочем ладно, на данный момент будем считать ваш результат самым удачным, отправлю тему в закладки, при случае можно ссылаться.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Заморачивался этим вопросом давненько. примерно год назад. Решил так:
1. Для запрета AnyDesk - дропаем всё на relays.net.anydesk.com
2. Для запрета Ammyy - дропаем всё на rl.ammyy.com
3. Для запрета AeroAdmin - дропаем всё на authNN.aeroadmin.com, где вместо NN числа от 1 до 20 (возможно их больше, но мне этого хватило)
4. Для запрета LightManager - дропаем всё на 89.108.101.61 и 91.240.86.200 (возможно в будущем они добавят ещё своих адресов, но покачто только эти + не стоит забывать, что разрабы дали возможность создавать свои персональные сервера)
5. Для запрета Google Remote Desktop - дропаем всё на remotedesktop-pa.googleapis.com и remotedesktop.google.com (но важно учитывать, что такие сервисы как гугл календарь перестают работать, а гмаил работает со значительными сбоями)
6. Вишенка на торте. TeamViewer. Средствами микротика НЕРЕШАЕМО (!!!). Зато решаемо с помощью внутреннего DNS сервера. У меня он на базе Windows Server и мне хватило создать корневую зону teamviewer.com с заворотом на 127.0.0.1. Это дало абсолютный отвал всех его сервисов и лучше я так и не придумал. Возможно через сторонние сетевые экраны это решается ещё ловчее, но меня это полностью устраивает и сегодня.