Страница 1 из 1

Выборочная блокировка траффика

Добавлено: 26 дек 2018, 10:36
pin
Доброго времени суток, столкнулся с проблемой при запрете проходящего трафика.
В общем, цель задачи: заблокировать доступ цели ко всем ресурсам, кроме впн сети, офд и радио.
Сделал следующее:
Добавил в ip address lists "ournets" адреса сетей, куда будем разрешать доступ.
Далее создал правило add action=drop chain=forward src-address=192.168.92.21 protocol=tcp dst-port=!8000,8001,9000 dst-address-list=!ournets
В общем доступ запрещен, работает ОФД + впн сети, но не работает радио, сайт открывается но плеер не запускается) хелп

Re: Выборочная блокировка траффика

Добавлено: 26 дек 2018, 18:38
vqd
ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите

Re: Выборочная блокировка траффика

Добавлено: 26 дек 2018, 21:07
podarok66
Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.

Re: Выборочная блокировка траффика

Добавлено: 27 дек 2018, 10:21
pin
podarok66 писал(а): 26 дек 2018, 21:07 Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.
Суть уловил) :-):

Re: Выборочная блокировка траффика

Добавлено: 27 дек 2018, 10:21
pin
vqd писал(а): 26 дек 2018, 18:38 ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите
кто "оно" щимится?

Re: Выборочная блокировка траффика

Добавлено: 27 дек 2018, 10:25
vqd
ну в вашем случае радио

Re: Выборочная блокировка траффика

Добавлено: 27 дек 2018, 11:04
pin
pin писал(а): 27 дек 2018, 10:21
podarok66 писал(а): 26 дек 2018, 21:07 Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.
Суть уловил) :-):
91.108.34.0/24

Re: Выборочная блокировка траффика

Добавлено: 27 дек 2018, 11:20
pin
pin писал(а): 27 дек 2018, 10:21
vqd писал(а): 26 дек 2018, 18:38 ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите
кто "оно" щимится?
Через снифер отследил

Re: Выборочная блокировка траффика

Добавлено: 27 дек 2018, 18:26
podarok66
Ну вот и ладушки. С Новым годом Вас!