Запрет на ЭниДеск [Версия для КПК] - Компьютерный форум OSzone.net

Показать полную графическую версию : Запрет на ЭниДеск

poisonkit

29-09-2022, 17:06

Добрый день.
Поступила задача от руководства: Запретить ЭниДеск и ВК.

Стоит Миктотик.
Что я сделал:
1. Создал правило в IP->Firewall->L2
https://i.ibb.co/MkxWSb6/screenshot-20220929-165702.png

2. Создал правило в IP->Firewall->Mangle
https://i.ibb.co/rs2n8JT/screenshot-20220929-165927.png

https://i.ibb.co/dgRSxpK/screenshot-20220929-170013.png

https://i.ibb.co/JHsXmCk/screenshot-20220929-170056.png

3. Создал правило в IP->Firewall->Filter rules
https://i.ibb.co/NVWP6jS/screenshot-20220929-170222.png

https://i.ibb.co/dWr5gWy/screenshot-20220929-170304.png

https://i.ibb.co/Z17cyfH/screenshot-20220929-170345.png

И правило поднял в самый верх...
Получилось, что из внутренней сети ничего из списка не работает.... Но из интернет можно цепляться к энидеску...

Как запрет сделать, что-бы через интернет не цеплялись к энидеску?

dmitryst

30-09-2022, 17:33

Я не знаю, как там на микротике, но... У меня была обратная задача - есть прокси с фаерволом, нужно было как раз разрешить энидеск, т.е внести его в "белый список". Выяснилось, что серверов энидеска много, а адреса меняются. Наваял скрипт...
В винде можно сделать так:
nslookup relays.net.anydesk.com
получим список актуальных релеев. Как его использовать дальше, не знаю, в вашем случае (вроде есть IP Addresses List, но это не точно). У меня эти адреса пишутся в файл, а файл подключается к основному конфигу фаервола. Да, всё по таймеру раз в час, чаще адреса не меняются, обычно раз в два-три дня.
Может, поможет ;)

bredych

30-09-2022, 19:15

а в консоли эти правила как выглядят?

dmitryst

30-09-2022, 19:32

а в консоли эти правила как выглядят? »
host relays.net.anydesk.com > /var/anydesk.hosts

В конфиге pf как-то так будет:
table <anydesk> persist file "/var/anydesk.hosts"
pass on fxp0 from <anydesk> to any
pass on fxp0 from any to <anydesk>
У меня pfsense, поэтому там почти всё делается из ГУИ. Как оно там будет в консоли микротика - я без понятия, нужен переводчег :drug:

bredych

30-09-2022, 21:21

прошу прощения за невольное введение в заблуждение (с телефона цитаты неудобно резать)
имел в виду команды запрета от ТС. У микротика в консоли понятнее, чем елозить по менюшкам

freese

02-11-2022, 12:31

делаем список (layer 7 тут не нужен)
/ip firewall address-list
add address=relays.net.anydesk.com list=blacklist
микротик сам получит список ip и выведет результат опроса
https://i.ibb.co/qswxqch/blacklist.png
401 узел ничёсе

далее добавляем блокирующее правило в фаервол
/ip firewall filter
add chain=forward action=drop dst-address-list=blacklist log=no
и желательно поместить его выше разрешающих

У микротика в консоли понятнее, чем елозить по менюшкам »
на вкус и цвет, мне например менюшки проще запомнить чем все комнады

1. Создал правило в IP->Firewall->L2 »
в начале попробуйте добавить
^.*(get|GET).+
чтобы получилось
^.*(get|GET).+(сайт1|сайт2|сайт3).*$

dmitryst

02-11-2022, 18:34

микротик сам получит список ip и выведет результат опроса »
красиво, конечно, но насколько часто будет обновляться этот список?
В доковидные времена список был из сотни хостов, и менялись они часто, не то что сейчас.