Закрытие доступа из локальной сети к TEAMVIEWER

[M1chA]

Помогите пожалуйста решить такую проблему.
Есть Mikrotik RB1100AHx2.
Нужно, чтобы из локальной сети TEAMVIEWR не мог работать.
Как сейчас сделано. В Static DNS добавлены зоны teamviewer.com, www.teamviewer.com, *.teamviewer.com.
Все вышеозанченные домены закольцованны на 127.0.0.1 но это не помогает.

[Vladimir22]

Блокируем порты 5938,9997 (их программа использует изначально), если закрыты - использует 80-тый порт и блокируем следующие IP адреса серверов Teamviewer:

216.108.224.222
80.237.220.185
85.214.154.223
85.214.78.0-85.214.78.254
77.41.13.0-77.41.13.254
80.237.157.95
85.25.143.0/24
217.23.49.0-217.23.49.24
87.230.74.0-87.230.74.254
87.230.73.0-87.230.73.254
89.185.96.0-89.185.96.254
91.121.4.0-91.121.4.254
91.121.28.0-91.121.28.254
93.186.48.0-93.186.48.254
178.75.246.0-178.75.246.254
178.77.120.0-178.77.120.254
85.25.147.0-85.25.147.254
62.75.215.0-62.75.215.254
62.75.246.0-62.75.246.254
69.64.74.0-69.64.74.254
89.189.96.0-89.189.96.245
77.223.130.0/24
81.169.168.0/24
85.214.222.0/24
87.230.70.0/24
46.165.192.220-46.165.192.228
95.221.37.197


После этого программа не может установить связь с сервером. Сервера актуальны Пн июл 09, 2012 00:09 , проверенны на 4,5,6, и 7 версии программы.

[vviz]

Помогите пожалуйста решить такую проблему.
Есть Mikrotik RB1100AHx2.
Нужно, чтобы из локальной сети TEAMVIEWR не мог работать.
Как сейчас сделано. В Static DNS добавлены зоны teamviewer.com, http://www.teamviewer.com, *.teamviewer.com.
Все вышеозанченные домены закольцованны на 127.0.0.1 но это не помогает.

Тут есть тонкий момент - какой адрес ДНС сервера использует комп, на котором запускается клиент TEAMVIEWR.
Это может быть не адрес микротика и тогда ваши правила не сработают.
Однозначным будет вариант, если на самом компе поправить %windir%\system32\drivers\etc\hosts

[M1chA]

Vladimir22
Не помогло...

vviz
ДНС сервер у меня на Windows 2008 находится,вместе с ролью АД.
А микротик естественно отдельно висит.

[vviz]

Не помогла правка hosts? Не может такого быть...
На компе, где запускаете вьювер в файле hosts прописали
127.0.0.1 www.teamviewer.com
и можете зайти браузером на http://www.teamviewer.com?

А прокси случаем не используете?

[M1chA]

Я hosts не правил. У меня парк из 150 компов. Большинство в домене,но большой процент под линем и ноутбками(win 7 home и т.п.). По всем бегать и править файлы.... Не хочется.
Прокси не использую.

[-user-]

ДНС сервер у меня на Windows 2008 находится

а у этого сервака кто является DNS сервером?

веду к тому, что нужно, чтобы все dns запросы проходили через Микротик, только так получиться...

Что пробовал я сам, и что работало а что нет:

набрал из разных архивов несколько версий тивьюверов, вплоть до самой новой...
в итоге:
* блокировка TW-портов не помогает, так как новые версии TW при закрытых его родных портах начинают использовать 80/443 - которые лочить мне не с руки, или ставить на них фильтрацию L7 с отсевом не_HTTP/S трафика, еще наклАднее...
* блокировки диапазонов IP не вариант, с каждой версией (ну не с каждой, но близко ) появляются новые IP
* в итоге получилось залочить (по крайней мере попыток 50 сделал всего и все безрезультатны для всех версий TW) запрещающим правилом по порту DNS; т.е. не помню сейчас точно, но вроде просто прописал в графе Content = teamviewer

Но... опять же, в сети DNS сервером был именно этот Микротик.

[vqd]

а какая разница DNS микротика или отдельно стоящий?

[-user-]

а какая разница DNS микротика или отдельно стоящий?

я ловил по портам DNS в INPUT.... а сколько у него серверов не имеют смысла, главная фраза, чтобы кто-то из них через МТ "проходил"

а вдруг у его сервера DNS инет идет через другую коробочку, соответственно запросы от его DNS сервака на_ружу не будут проходить через фильтрацию МТ...
да тут в общем просто я расписал как ловиться, а как хозяин сети завернет свой трафик, его личное дело, ну или дело стандартов организации ))

[vqd]

Для реализации данной затеи достаточно что бы микрот был пограничным но при этом совершенно не обязательно что бы он являлся DNS