Выборочная блокировка траффика

[pin]

Доброго времени суток, столкнулся с проблемой при запрете проходящего трафика.
В общем, цель задачи: заблокировать доступ цели ко всем ресурсам, кроме впн сети, офд и радио.
Сделал следующее:
Добавил в ip address lists "ournets" адреса сетей, куда будем разрешать доступ.
Далее создал правило add action=drop chain=forward src-address=192.168.92.21 protocol=tcp dst-port=!8000,8001,9000 dst-address-list=!ournets
В общем доступ запрещен, работает ОФД + впн сети, но не работает радио, сайт открывается но плеер не запускается) хелп

[vqd]

ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите

[podarok66]

Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.

[pin]

Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.

Суть уловил)

[pin]

ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите

кто "оно" щимится?

[vqd]

ну в вашем случае радио

[pin]

Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.

Суть уловил)

91.108.34.0/24

[pin]

ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите

кто "оно" щимится?

Через снифер отследил

[podarok66]

Ну вот и ладушки. С Новым годом Вас!