Правила Firewall для прослушивания радиостанций

[Marvak]

Приветствую.
Имеется фирма с центральным офисом и отделениями по городу.
Отделения подключены в центральный офис через Микротики линейки 750 и 951.
(есть hap, hex, UP).
Подключения сделаны к VPN по PPTP протоколу.
В отделениях запрещено ходить в Интернет через браузер, кроме пары специализированных сайтов.
Это сделано правилом:




(Сбрасывать Forward соединения по протоколу tcp по портам 80, 443), кроме Dst. Address входящих в список Dst. Address List с названием LegalSites.

Возникла задача в каждом отделении включать трансляцию Интернет-Радио для клиентов, пока они ждут обслуживания.
Соответственно в список LegalSites добавлен сайт top-radio.ru на котором имеются ссылки на станции.

Проблема в том, что часть радиостанций из этого списка играет, а часть - нет. В основном - не играет.
Причем непонятно по какому признаку. Иногда играют одни, иногда другие, иногда вообще ничего не играет.
При отключении правила все играет.
Я посмотрел к каким сайтам идет еще обращение в браузере, но там их куча, не прописывать же все, наподобие google-analytics
Я смотрю в списке подключений, при вещании имеется подключение с моего компа в отделении на порту 8000 (еще кстати и 3001).
Я так понимаю это и есть поток радиовещания?
Как же все-таки разрешить радиовещание на фаерволе?
Видимо оно не подчиняется общим правилам, а проходит как-то другим путем?
Но почему тогда все нормально, когда отключено блокирующее правило?
Подскажите, пожалуйста.

[gmx]

Ну так в чем трудность, выше всех запрещающих правил добавьте разрешающее правило для портов 8000 и 3001, другой разговор, что чаще всего, все это вещается по стандартным портам 80 и 443...

Иными словами, проще у себя в локальной сети создать собственное радио, чем подстроится под вещания разных сайтов и станций.
http://forum.ru-board.com/topic.cgi?for ... 0&start=20

[Marvak]

Я посмотрел по каким портам идет вещание, оказывается там вообще довольно разнообразно все.
Бывает и по 80, и по 9000 и по 9001, 8004, 8008, зависит от радиостанции. 3001 порт не влияет, видимо это что-то не то передается.
Например на 8000


Причем порт выступает и как Src (от сайта) и как Dst на нем. Оба вида трафика идут.
Какая-то там кухня внутренняя своя.
И что интересно за соединения на порт 8080? Они имеют отношение к вещанию?

То есть нужно два правила, примерно так.

Причем с кучей портов, не только 8000.
Интересно, что иногда срабатывают только правила которые на рисунке чуть ниже (пропуск established, related), а верхние не работают, хотя радиостанция звучит.

В общем полной ясности с тем, как там ведется вещание, у меня конечно нет.
Насчет организации трансляций со своего сервера посмотрю, спасибо за ссылку.

А еще хотел спросить - разрешение forward соединениям обращаться на эти порты не должно же привести к уязвимости от различных атак?
По идее это же не входящие соединения. Или может быть уязвимость?

[gmx]

Не знаю, у меня нет паранойи по поводу язвимости ROS в целом. А так, сами понимаете, любой открытый порт - потенциальная уязвимость.
Но ведь и "любая человеческая деятельность потенциально опасна".

[Marvak]

Не знаю, у меня нет паранойи по поводу язвимости ROS в целом. А так, сами понимаете, любой открытый порт - потенциальная уязвимость.
Но ведь и "любая человеческая деятельность потенциально опасна".

Согласен. :)
Дело в том, что я не особо сильный спец в этих вопросах,
Микротик настраиваю редко и попутно основной деятельности.
Поэтому недостаток знаний и вызывает опасения.
"А вдруг что-то не так, а вдруг что-то упустил?" ))

Ок, спасибо, сделаю пока так, как написал в пред посте., по ходу дела понаблюдаю.

[Vlad-2]

Всё же посоветую Вам обнулить микротик, посмотрел Вашу историю сообщений (тем),
то та проблема, то в этом глюк.

А по скринам последним - я так понимаю, Вы используете стандартную конфигурацию
со фастреком и всякими фичами, которые иногда полезны, а иногда тупят.
Я всегда новый роутер очищаю, обновляю и уже руками делаю конфигурацию.

И кстати, коллеги-админы (кто занимается в городе микротиками) замечали пару раз,
что были глюки на тех роутерах, которые ставили они в быстрые сроки, без должной подготовки.
Скорости, качество, мало-стабильность была. Да и иногда роутеры с магазина приходят
даже с RC-прошивкой (что я считаю не совсем корректно со стороны производителя).
Ну да ладно...это на их совести.

Всё же чистый роутер с релизной прошивкой = это залог успеха и качества.

[Marvak]

Прошивку хочу обновить, но пока побаиваюсь. ))
Хотя саму RouterOS обновлял неоднократно.
Микротиков то не один, а несколько, по одному в каждом отделении.
Надо обновить, конечно.
По правилам и настройке - там пожалуй только это правило с Fasttrak и осталось из встроенных.
Все остальные правила я взял с разных сайтов по Микротику.
В общем-то единственная была задача - подсоединяться к VPN, ну и заходить на него через браузер и Винбокс, так что там не особо сложно.
Ну вот сейчас попросили радио сделать еще.
Еще видимо в разрешенные адреса нужно добавить сами потоки.
Типа icecast.russkoeradio.cdnvideo.ru и так далее.
Просто часть станций и без этого играет, а часть и с этим не играет. Видимо идет у них еще куда-то обращение, но куда - неизвестно.
Сделаю некий минимум самых известных станций и хватит.

[Erik_U]

IP тех устройств, которые занимаются проигрыванием радио добавьте в адрес лист (например "radio") а этот лист добавьте как исключение в Src. Address List в ваше запрещающее правило.

[Vlad-2]

Прошивку хочу обновить, но пока побаиваюсь. ))
Хотя саму RouterOS обновлял неоднократно.

Прошивка и есть сам RouterOS.
И если Вы обновляли, то чего бояться то?

Микротиков то не один, а несколько, по одному в каждом отделении.
Надо обновить, конечно.

Надо не пробовать, а надо взять и сделать.
Тем более если есть хотя бы в резерве один микротик, то возьмите
его, очистите, обновите и спокойно не торопясь руками перенесите конфигурацию.
А потом под утро/вечером в организации замените один роутер на другой.

И ещё: я советовал вам ИМЕННО обнулить роутер, привести его к чистому виду),
потом обновить. ЭТО обязательно.
Если Вы работаете и строите деятельность на микротиках, давайте хотя бы
их "готовить" правильно и профессионально.

[Marvak]

Я имел в виду под прошивкой то, чья версия отображается в окошке System - RouterBoard.
Поля Factory firmware и Current firmware.
Там еще кнопка Upgrade есть.
Вот эту процедуру я не делал.
Это загрузчик видимо.