Страница 1 из 2
Разрешить ТимВивер
Добавлено: 08 янв 2021, 21:32
Skylear
Доброго всем дня или вечера, форумчане.
Есть задачка, в инете не особо много мануалов по решению.
Необходимо закрыть определенным хостам доступ в интернет, но разрешить тим и анидеск.
С дропом интернета - все понятно: forward, src-address - наш хост, далее дропаем и все ок. но вот как добавить в это правило исключения чтобы тим работал - загвоздка....
в адрес лист добавлено куча подсетей и адресов тима - не работает, l7 - не работает...
может есть у кого действенный способ?
К слову анидеск пролазиет без правил, не понимаю как....
Re: Разрешить ТимВивер
Добавлено: 08 янв 2021, 22:56
Skylear
дополняю тему. Нашел решение, но не очень идеальное. суть такова:
блокируем интернет через блок пакетов DNS - в итоге анидеск работает, а для тима делаем исключение в этом же правиле. Далее есть просблема на винде - значок глобуса, который говорит что не т инета. обходится правилом выше - разрешение контента msftncsi.
В итоге имеем:
Нет интернета на хосте, пинги проходят только на ip-адреса (8.8.8.8).
Не работают обновления винды
Нельзя подменить вручную dns на хосте
Значок интернета - обычный
Тим и анидеск работают
Недостаток - скорее всего будет работать tor. А также VPN и др.
Но такой цели нет, да и если рубить пакеты все - то нужно подбирать больше правил под эту задачу.
Если у кого есть идеи как сделать более элегантно - прошу делитесь.
Код: Выделить всё
add action=accept chain=forward comment=Accept_Allow_Inet_Windows content=\
msftncsi dst-port=53 out-interface=ether18-WAN protocol=udp src-address=\
192.168.0.161
add action=reject chain=forward comment=Drop_Inet_Over_Team-Any content=\
!teamviewer dst-port=53 out-interface=ether18-WAN protocol=udp \
reject-with=icmp-network-unreachable src-address=192.168.0.161
подставляйте свои интерфейсы и адреса хостов
Re: Разрешить ТимВивер
Добавлено: 11 янв 2021, 08:22
imaoskol
Skylear писал(а): ↑08 янв 2021, 22:56
дополняю тему. Нашел решение, но не очень идеальное. суть такова:
блокируем интернет через блок пакетов DNS - в итоге анидеск работает, а для тима делаем исключение в этом же правиле. Далее есть проблема на винде - значок глобуса, который говорит что не т инета. обходится правилом выше - разрешение контента msftncsi.
В итоге имеем:
Нет интернета на хосте, пинги проходят только на ip-адреса (8.8.8.8).
Не работают обновления винды
Нельзя подменить вручную dns на хосте
Значок интернета - обычный
Тим и анидеск работают
Недостаток - скорее всего будет работать tor. А также VPN и др.
Но такой цели нет, да и если рубить пакеты все - то нужно подбирать больше правил под эту задачу.
Если у кого есть идеи как сделать более элегантно - прошу делитесь.
Код: Выделить всё
add action=accept chain=forward comment=Accept_Allow_Inet_Windows content=\
msftncsi dst-port=53 out-interface=ether18-WAN protocol=udp src-address=\
192.168.0.161
add action=reject chain=forward comment=Drop_Inet_Over_Team-Any content=\
!teamviewer dst-port=53 out-interface=ether18-WAN protocol=udp \
reject-with=icmp-network-unreachable src-address=192.168.0.161
подставляйте свои интерфейсы и адреса хостов
Тим вьюер стучится на свои сервера типа router1,2,3..teamviewer.com.
Cоответственно достаточно запретить коннект к ним либо через регулярные выражения, либо через статические dns записи.
AMMYY стучится на ammyy.com.
ANYdesk ломится на свои сервера, список которых можно погуглить...Там просто диапазоны адресов, за которыми будете гоняться вечно
Ваши желания реализуются другими железками - сетевыми экранами, где есть DPI.
На Микротике гарантированно заблочить проблематично
Re: Разрешить ТимВивер
Добавлено: 11 янв 2021, 11:34
mex79
Заблочить всё и разрешить белый список если необходим доступ на ограниченное число ресурсов, вот только тимвьювер в таком случае добавить в список разрешенных проблемно. Сам ищу решение для добавления тимки в список, пока решили проблему временным отключением блокирующего правила на короткое время для доступа стп. Сразу предупреждая вопрос скажу что тимвьювер используется для доступа к железкам на андройде, для пк вполне хватает других средств.
Re: Разрешить ТимВивер
Добавлено: 11 янв 2021, 12:40
KaNelam
Ипользует порт 5938. Как выше написали, боличте все, разрешаете нужное.
Re: Разрешить ТимВивер
Добавлено: 12 янв 2021, 10:13
Inner
Я отказался от тимвьювера сразу с помощью внутреннего DNS сервера (Создал корневую зону teamviewer.com с ip 127.255.255.255). А доступ к энидеску перекрыл путем создания адреслиста relays.net.anydesk.com. Соответственно те, кому разрешен форвард на эти адреса, получают рабочий энидеск. Остальным запрещен.
Re: Разрешить ТимВивер
Добавлено: 13 янв 2021, 09:57
Skylear
Друзья, задача стоит конкретная (внимательно прочтите первый пост). Еще раз:
Станки на Win10, Win7. Нужно закрыть доступ к интернету (чтобы не могли пользоваться браузером, поэтому не нужен 100 процентный способ, на поиски VPN-ов и Tor-а у сотрудников времени нет, никто не будет разбираться если просто инет не откроется), но нужно оставить тимвивер и анидеск (только две этих программы, они нужны для саппорта), а также с запретом через DNS, как я написал выше, мы сталкиваемся с проблемой значка интернета в трее - он показывает что инета нет, а это критично, так как компы используют ресурсы сети. И сотрудники могут развести панику и бросить работать.)) Поэтому я и добавил правило с исключением "msftncsi".
Прошу, если у кого есть идеи как сделать более правильно - в студию
1) Каким способом можно заблочить доступ в инет
2) Как после 1-го правила открыть саппорт
Re: Разрешить ТимВивер
Добавлено: 13 янв 2021, 10:55
Inner
Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.
Вот пример того, как я это сделал у себя:
Код: Выделить всё
/ip firewall address-list
add address=vk.com list=BlockSite
add address=m.vk.com list=BlockSite
add address=ok.ru list=BlockSite
add address=m.ok.ru list=BlockSite
add address=facebook.com list=BlockSite
add address=192.168.168.154 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.187 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.200 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=10.0.0.20 list=AllAllowUsers
add address=10.0.0.69 list=AllAllowUsers
add address=ru-ru.facebook.com list=BlockSite
add address=twitter.com list=BlockSite
add address=pikabu.ru list=BlockSite
add address=instagram.com list=BlockSite
add address=www.instagram.com list=BlockSite
add address=relays.net.anydesk.com comment=anydesk list=BlockSite
add address=rl.ammyy.com comment=ammyy list=BlockSite
add address=auth9.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth10.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth11.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth12.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth13.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth14.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth15.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth16.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth17.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth18.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth19.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth20.aeroadmin.com comment=aeroadmin list=BlockSite
add address=remotedesktop-pa.googleapis.com list=googleRDS
add address=remotedesktop.google.com list=googleRDS
add address=89.108.101.61 comment=litemanager list=BlockSite
add address=91.240.86.200 comment=litemanager list=BlockSite
add address=imap.yandex.ru list=AllowYandexMail
add address=smtp.yandex.ru list=AllowYandexMail
add address=10.0.0.0/23 list=LAN
add address=192.168.168.0/24 list=LAN
add address=zen.yandex.ru list=BlockSite
add address=api.skype.com comment=skype list=BlockSite
add address=apps.skype.com comment=skype list=BlockSite
add address=community.skype.com comment=skype list=BlockSite
add address=download.skype.com comment=skype list=BlockSite
add address=login.skype.com comment=skype list=BlockSite
add address=pipe.skype.com comment=skype list=BlockSite
add address=secure.skype.com comment=skype list=BlockSite
add address=www.skype.com comment=skype list=BlockSite
add address=www.skypeassets.com comment=skype list=BlockSite
add address=clientlogin.cdn.skype.com comment=skype list=BlockSite
add address=mobile.pipe.aria.microsoft.com comment=skype list=BlockSite
add address=login.live.com comment=skype list=BlockSite
add address=sbi.sberbank.ru list=Sberbank
add address=bf.sberbank.ru list=Sberbank
add address=ftls.sberbank.ru list=Sberbank
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 in-interface-list=InterNet protocol=tcp
add action=accept chain=forward src-address-list=AllAllowUsers
add action=accept chain=forward src-address-list=VoIP-GW
add action=drop chain=forward dst-address-list=!LAN src-address-list=BlockedLocalSources
add action=drop chain=forward dst-address-list=BlockSite
add action=drop chain=forward comment="google remote desktop" dst-address-list=googleRDS src-address-list=!Secretar
add action=accept chain=forward dst-address-list=AllowYandexMail
add action=accept chain=forward disabled=yes dst-address=188.128.56.18 src-address-list=LAN
add action=accept chain=forward dst-port=80,443 protocol=tcp
add action=accept chain=forward dst-address-list=Sberbank dst-port=9443 protocol=tcp src-address-list=BUH_Sberbank
add action=drop chain=forward dst-address-list=!LAN src-address-list=LAN
add action=drop chain=input in-interface-list=InterNet
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Re: Разрешить ТимВивер
Добавлено: 13 янв 2021, 18:47
Skylear
коллега, опробую, отпишусь
Re: Разрешить ТимВивер
Добавлено: 13 янв 2021, 21:38
imaoskol
Inner писал(а): ↑13 янв 2021, 10:55
Хорошо. Отвечу иначе.Делаем адрес лист LAN (в нем указываем локальный диапазон айпишников), vip (в нем указываем список тех кому нужны рабочие энидеск и тимвьювер) и relays (указываем релеи энидеска relays.net.anydesk.com). В Firewall создаем правило. Дроп любого forward c LAN на !LAN (Ещё идеально в бридже включить "use ip firewall"). Выше создаем разрешающие правила форварда на адреслист с релеями с адреслиста vip. Но это никоем образом не тронет тимвьювер. Если оставить ему форвард только на 443 порт, он будет работать. Собственно он сам по себе живучий и его нельзя адекватно прикрыть усилиями только одного микротика.
Вот пример того, как я это сделал у себя:
Код: Выделить всё
/ip firewall address-list
add address=vk.com list=BlockSite
add address=m.vk.com list=BlockSite
add address=ok.ru list=BlockSite
add address=m.ok.ru list=BlockSite
add address=facebook.com list=BlockSite
add address=192.168.168.154 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.187 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=192.168.168.200 comment="\D1\CA\D3\C4" list=BlockedLocalSources
add address=10.0.0.20 list=AllAllowUsers
add address=10.0.0.69 list=AllAllowUsers
add address=ru-ru.facebook.com list=BlockSite
add address=twitter.com list=BlockSite
add address=pikabu.ru list=BlockSite
add address=instagram.com list=BlockSite
add address=www.instagram.com list=BlockSite
add address=relays.net.anydesk.com comment=anydesk list=BlockSite
add address=rl.ammyy.com comment=ammyy list=BlockSite
add address=auth9.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth10.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth11.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth12.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth13.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth14.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth15.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth16.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth17.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth18.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth19.aeroadmin.com comment=aeroadmin list=BlockSite
add address=auth20.aeroadmin.com comment=aeroadmin list=BlockSite
add address=remotedesktop-pa.googleapis.com list=googleRDS
add address=remotedesktop.google.com list=googleRDS
add address=89.108.101.61 comment=litemanager list=BlockSite
add address=91.240.86.200 comment=litemanager list=BlockSite
add address=imap.yandex.ru list=AllowYandexMail
add address=smtp.yandex.ru list=AllowYandexMail
add address=10.0.0.0/23 list=LAN
add address=192.168.168.0/24 list=LAN
add address=zen.yandex.ru list=BlockSite
add address=api.skype.com comment=skype list=BlockSite
add address=apps.skype.com comment=skype list=BlockSite
add address=community.skype.com comment=skype list=BlockSite
add address=download.skype.com comment=skype list=BlockSite
add address=login.skype.com comment=skype list=BlockSite
add address=pipe.skype.com comment=skype list=BlockSite
add address=secure.skype.com comment=skype list=BlockSite
add address=www.skype.com comment=skype list=BlockSite
add address=www.skypeassets.com comment=skype list=BlockSite
add address=clientlogin.cdn.skype.com comment=skype list=BlockSite
add address=mobile.pipe.aria.microsoft.com comment=skype list=BlockSite
add address=login.live.com comment=skype list=BlockSite
add address=sbi.sberbank.ru list=Sberbank
add address=bf.sberbank.ru list=Sberbank
add address=ftls.sberbank.ru list=Sberbank
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 in-interface-list=InterNet protocol=tcp
add action=accept chain=forward src-address-list=AllAllowUsers
add action=accept chain=forward src-address-list=VoIP-GW
add action=drop chain=forward dst-address-list=!LAN src-address-list=BlockedLocalSources
add action=drop chain=forward dst-address-list=BlockSite
add action=drop chain=forward comment="google remote desktop" dst-address-list=googleRDS src-address-list=!Secretar
add action=accept chain=forward dst-address-list=AllowYandexMail
add action=accept chain=forward disabled=yes dst-address=188.128.56.18 src-address-list=LAN
add action=accept chain=forward dst-port=80,443 protocol=tcp
add action=accept chain=forward dst-address-list=Sberbank dst-port=9443 protocol=tcp src-address-list=BUH_Sberbank
add action=drop chain=forward dst-address-list=!LAN src-address-list=LAN
add action=drop chain=input in-interface-list=InterNet
У меня вообще всё перекрыто, но переделать под себя не будет проблемой. Тимвьювер же, будет работать, даже если оставить открытым только 443 порт.
Коллега не прав. Тим вьюер прекрасно перекрывается простым статическим ДНС. Всего лишь нужно routerXteamviewer.com резолвить во что то несуществующее и тим вьюер умрёт, где X-router1,2,3, и т.д.