Приветствую.
Имеется фирма с центральным офисом и отделениями по городу.
Отделения подключены в центральный офис через Микротики линейки 750 и 951.
(есть hap, hex, UP).
Подключения сделаны к VPN по PPTP протоколу.
В отделениях запрещено ходить в Интернет через браузер, кроме пары специализированных сайтов.
Это сделано правилом:
(Сбрасывать Forward соединения по протоколу tcp по портам 80, 443), кроме Dst. Address входящих в список Dst. Address List с названием LegalSites.
Возникла задача в каждом отделении включать трансляцию Интернет-Радио для клиентов, пока они ждут обслуживания.
Соответственно в список LegalSites добавлен сайт top-radio.ru на котором имеются ссылки на станции.
Проблема в том, что часть радиостанций из этого списка играет, а часть - нет. В основном - не играет.
Причем непонятно по какому признаку. Иногда играют одни, иногда другие, иногда вообще ничего не играет.
При отключении правила все играет.
Я посмотрел к каким сайтам идет еще обращение в браузере, но там их куча, не прописывать же все, наподобие google-analytics
Я смотрю в списке подключений, при вещании имеется подключение с моего компа в отделении на порту 8000 (еще кстати и 3001).
Я так понимаю это и есть поток радиовещания?
Как же все-таки разрешить радиовещание на фаерволе?
Видимо оно не подчиняется общим правилам, а проходит как-то другим путем?
Но почему тогда все нормально, когда отключено блокирующее правило?
Подскажите, пожалуйста.
Правила Firewall для прослушивания радиостанций
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Ну так в чем трудность, выше всех запрещающих правил добавьте разрешающее правило для портов 8000 и 3001, другой разговор, что чаще всего, все это вещается по стандартным портам 80 и 443...
Иными словами, проще у себя в локальной сети создать собственное радио, чем подстроится под вещания разных сайтов и станций.
http://forum.ru-board.com/topic.cgi?for ... 0&start=20
Иными словами, проще у себя в локальной сети создать собственное радио, чем подстроится под вещания разных сайтов и станций.
http://forum.ru-board.com/topic.cgi?for ... 0&start=20
-
- Сообщения: 27
- Зарегистрирован: 12 апр 2014, 10:47
Я посмотрел по каким портам идет вещание, оказывается там вообще довольно разнообразно все.
Бывает и по 80, и по 9000 и по 9001, 8004, 8008, зависит от радиостанции. 3001 порт не влияет, видимо это что-то не то передается.
Например на 8000
Причем порт выступает и как Src (от сайта) и как Dst на нем. Оба вида трафика идут.
Какая-то там кухня внутренняя своя.
И что интересно за соединения на порт 8080? Они имеют отношение к вещанию?
То есть нужно два правила, примерно так.
Причем с кучей портов, не только 8000.
Интересно, что иногда срабатывают только правила которые на рисунке чуть ниже (пропуск established, related), а верхние не работают, хотя радиостанция звучит.
В общем полной ясности с тем, как там ведется вещание, у меня конечно нет.
Насчет организации трансляций со своего сервера посмотрю, спасибо за ссылку.
А еще хотел спросить - разрешение forward соединениям обращаться на эти порты не должно же привести к уязвимости от различных атак?
По идее это же не входящие соединения. Или может быть уязвимость?
Бывает и по 80, и по 9000 и по 9001, 8004, 8008, зависит от радиостанции. 3001 порт не влияет, видимо это что-то не то передается.
Например на 8000
Причем порт выступает и как Src (от сайта) и как Dst на нем. Оба вида трафика идут.
Какая-то там кухня внутренняя своя.
И что интересно за соединения на порт 8080? Они имеют отношение к вещанию?
То есть нужно два правила, примерно так.
Причем с кучей портов, не только 8000.
Интересно, что иногда срабатывают только правила которые на рисунке чуть ниже (пропуск established, related), а верхние не работают, хотя радиостанция звучит.
В общем полной ясности с тем, как там ведется вещание, у меня конечно нет.
Насчет организации трансляций со своего сервера посмотрю, спасибо за ссылку.
А еще хотел спросить - разрешение forward соединениям обращаться на эти порты не должно же привести к уязвимости от различных атак?
По идее это же не входящие соединения. Или может быть уязвимость?
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Не знаю, у меня нет паранойи по поводу язвимости ROS в целом. А так, сами понимаете, любой открытый порт - потенциальная уязвимость.
Но ведь и "любая человеческая деятельность потенциально опасна".
Но ведь и "любая человеческая деятельность потенциально опасна".
-
- Сообщения: 27
- Зарегистрирован: 12 апр 2014, 10:47
gmx писал(а):Не знаю, у меня нет паранойи по поводу язвимости ROS в целом. А так, сами понимаете, любой открытый порт - потенциальная уязвимость.
Но ведь и "любая человеческая деятельность потенциально опасна".
Согласен. :)
Дело в том, что я не особо сильный спец в этих вопросах,
Микротик настраиваю редко и попутно основной деятельности.
Поэтому недостаток знаний и вызывает опасения.
"А вдруг что-то не так, а вдруг что-то упустил?" ))
Ок, спасибо, сделаю пока так, как написал в пред посте., по ходу дела понаблюдаю.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Всё же посоветую Вам обнулить микротик, посмотрел Вашу историю сообщений (тем),
то та проблема, то в этом глюк.
А по скринам последним - я так понимаю, Вы используете стандартную конфигурацию
со фастреком и всякими фичами, которые иногда полезны, а иногда тупят.
Я всегда новый роутер очищаю, обновляю и уже руками делаю конфигурацию.
И кстати, коллеги-админы (кто занимается в городе микротиками) замечали пару раз,
что были глюки на тех роутерах, которые ставили они в быстрые сроки, без должной подготовки.
Скорости, качество, мало-стабильность была. Да и иногда роутеры с магазина приходят
даже с RC-прошивкой (что я считаю не совсем корректно со стороны производителя).
Ну да ладно...это на их совести.
Всё же чистый роутер с релизной прошивкой = это залог успеха и качества.
то та проблема, то в этом глюк.
А по скринам последним - я так понимаю, Вы используете стандартную конфигурацию
со фастреком и всякими фичами, которые иногда полезны, а иногда тупят.
Я всегда новый роутер очищаю, обновляю и уже руками делаю конфигурацию.
И кстати, коллеги-админы (кто занимается в городе микротиками) замечали пару раз,
что были глюки на тех роутерах, которые ставили они в быстрые сроки, без должной подготовки.
Скорости, качество, мало-стабильность была. Да и иногда роутеры с магазина приходят
даже с RC-прошивкой (что я считаю не совсем корректно со стороны производителя).
Ну да ладно...это на их совести.
Всё же чистый роутер с релизной прошивкой = это залог успеха и качества.
-
- Сообщения: 27
- Зарегистрирован: 12 апр 2014, 10:47
Прошивку хочу обновить, но пока побаиваюсь. ))
Хотя саму RouterOS обновлял неоднократно.
Микротиков то не один, а несколько, по одному в каждом отделении.
Надо обновить, конечно.
По правилам и настройке - там пожалуй только это правило с Fasttrak и осталось из встроенных.
Все остальные правила я взял с разных сайтов по Микротику.
В общем-то единственная была задача - подсоединяться к VPN, ну и заходить на него через браузер и Винбокс, так что там не особо сложно.
Ну вот сейчас попросили радио сделать еще.
Еще видимо в разрешенные адреса нужно добавить сами потоки.
Типа icecast.russkoeradio.cdnvideo.ru и так далее.
Просто часть станций и без этого играет, а часть и с этим не играет. Видимо идет у них еще куда-то обращение, но куда - неизвестно.
Сделаю некий минимум самых известных станций и хватит.
Хотя саму RouterOS обновлял неоднократно.
Микротиков то не один, а несколько, по одному в каждом отделении.
Надо обновить, конечно.
По правилам и настройке - там пожалуй только это правило с Fasttrak и осталось из встроенных.
Все остальные правила я взял с разных сайтов по Микротику.
В общем-то единственная была задача - подсоединяться к VPN, ну и заходить на него через браузер и Винбокс, так что там не особо сложно.
Ну вот сейчас попросили радио сделать еще.
Еще видимо в разрешенные адреса нужно добавить сами потоки.
Типа icecast.russkoeradio.cdnvideo.ru и так далее.
Просто часть станций и без этого играет, а часть и с этим не играет. Видимо идет у них еще куда-то обращение, но куда - неизвестно.
Сделаю некий минимум самых известных станций и хватит.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
IP тех устройств, которые занимаются проигрыванием радио добавьте в адрес лист (например "radio") а этот лист добавьте как исключение в Src. Address List в ваше запрещающее правило.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Marvak писал(а):Прошивку хочу обновить, но пока побаиваюсь. ))
Хотя саму RouterOS обновлял неоднократно.
Прошивка и есть сам RouterOS.
И если Вы обновляли, то чего бояться то?
Marvak писал(а):Микротиков то не один, а несколько, по одному в каждом отделении.
Надо обновить, конечно.
Надо не пробовать, а надо взять и сделать.
Тем более если есть хотя бы в резерве один микротик, то возьмите
его, очистите, обновите и спокойно не торопясь руками перенесите конфигурацию.
А потом под утро/вечером в организации замените один роутер на другой.
И ещё: я советовал вам ИМЕННО обнулить роутер, привести его к чистому виду),
потом обновить. ЭТО обязательно.
Если Вы работаете и строите деятельность на микротиках, давайте хотя бы
их "готовить" правильно и профессионально.
-
- Сообщения: 27
- Зарегистрирован: 12 апр 2014, 10:47
Я имел в виду под прошивкой то, чья версия отображается в окошке System - RouterBoard.
Поля Factory firmware и Current firmware.
Там еще кнопка Upgrade есть.
Вот эту процедуру я не делал.
Это загрузчик видимо.
Поля Factory firmware и Current firmware.
Там еще кнопка Upgrade есть.
Вот эту процедуру я не делал.
Это загрузчик видимо.