Блокировка всего контента , кроме Google.Market и AppleStore.

Обсуждение оборудования и его настройки
Ответить
AlexBlack
Сообщения: 2
Зарегистрирован: 26 фев 2021, 16:07

Добрый день. Столкнулся с задачей , поставленной как "Заблокировать все сайты в гостевой сети , кроме возможности скачивать приложение компании с playmarket и applestore."

Моим прошлым коллегой это было реализовано следующим способом. В фаерволе были прописаны ip адреса как я понимаю playmarket и applestore.
Но до недавнего времени, добавление ip адреса , на которое пытается попасть устройство , в разрешенное подключение, перестало приносить результат. Как можно по другому решить данную задачу, есть ли способы избежать постоянного добавления ip адресов ?
На данный момент конфиг фаервола выглядит следующим образом
add action=accept chain=forward dst-address=172.217.0.0/16 src-address=\
192.168.200.0/24
add action=accept chain=forward dst-address=216.58.192.0/19 src-address=\
192.168.200.0/24
add action=accept chain=forward dst-address=213.180.204.0/24 src-address=\
192.168.200.0/24
add action=accept chain=forward dst-address=178.172.162.0/24 src-address=\
192.168.200.0/24
add action=accept chain=forward dst-address=95.213.0.0/20 src-address=\
192.168.200.0/24
add action=accept chain=forward dst-address=93.125.108.0/24 src-address=\
192.168.200.0/24
add action=accept chain=forward dst-address=185.60.216.0/22 src-address=\
192.168.200.0/24
и далее далее далее . в данном списке уже 120 разрешённых ip адреса.
завершает разрешённый список следующее правило которое собственно, запрещает любые соединения устройств находящихся в данной сети (192.168.200.0\24)
add action=reject chain=forward log=yes log-prefix=freewifi rej
icmp-network-unreachable src-address=192.168.200.0/24


KaNelam
Сообщения: 619
Зарегистрирован: 11 июл 2017, 13:03

Как вариант адрес листы с именами сервисов, будет сам резолвить адреса.
Листы, соотв-но, разрешать.
Последний раз редактировалось KaNelam 26 фев 2021, 18:53, всего редактировалось 1 раз.


AlexBlack
Сообщения: 2
Зарегистрирован: 26 фев 2021, 16:07

Вроде находил похожее решение тут на форуме. Как я понял, есть такая вещь как google cdn. И как писал коллега с форума " GOOGLE CDN: сервера под управлением Google на площадках провайдеров. При этом там минимум 5 серверов и соотв минимум 5 адресов. откуда Вам скачивать решает Google и он вполне может выдать как сервера из своих ДЦ ( их много) так и Вашего провайдера"
Исходя из этого , я так понимаю , что приложение в том же Гугл маркете находится будет, но вот запрос на скачку будет отдан ближайшему по доступу серверу. А он соответственно будет блокироваться моим правилом...


Ответить