Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   Запрет на ЭниДеск (http://forum.oszone.net/showthread.php?t=352020)

poisonkit 29-09-2022 17:06 2993278
Запрет на ЭниДеск
 
Добрый день.
Поступила задача от руководства: Запретить ЭниДеск и ВК.

Стоит Миктотик.
Что я сделал:
1. Создал правило в IP->Firewall->L2


2. Создал правило в IP->Firewall->Mangle






3. Создал правило в IP->Firewall->Filter rules






И правило поднял в самый верх...
Получилось, что из внутренней сети ничего из списка не работает.... Но из интернет можно цепляться к энидеску...

Как запрет сделать, что-бы через интернет не цеплялись к энидеску?

dmitryst 30-09-2022 17:33 2993344
Я не знаю, как там на микротике, но... У меня была обратная задача - есть прокси с фаерволом, нужно было как раз разрешить энидеск, т.е внести его в "белый список". Выяснилось, что серверов энидеска много, а адреса меняются. Наваял скрипт...
В винде можно сделать так:
Код:
nslookup relays.net.anydesk.com
получим список актуальных релеев. Как его использовать дальше, не знаю, в вашем случае (вроде есть IP Addresses List, но это не точно). У меня эти адреса пишутся в файл, а файл подключается к основному конфигу фаервола. Да, всё по таймеру раз в час, чаще адреса не меняются, обычно раз в два-три дня.
Может, поможет ;)

bredych 30-09-2022 19:15 2993353
а в консоли эти правила как выглядят?

dmitryst 30-09-2022 19:32 2993358
Цитата:
Цитата bredych
а в консоли эти правила как выглядят? »
Код:
host relays.net.anydesk.com > /var/anydesk.hosts
В конфиге pf как-то так будет:
Код:
table <anydesk> persist file "/var/anydesk.hosts"
pass on fxp0 from <anydesk> to any
pass on fxp0 from any to <anydesk>
У меня pfsense, поэтому там почти всё делается из ГУИ. Как оно там будет в консоли микротика - я без понятия, нужен переводчег :drug:

bredych 30-09-2022 21:21 2993366
прошу прощения за невольное введение в заблуждение (с телефона цитаты неудобно резать)
имел в виду команды запрета от ТС. У микротика в консоли понятнее, чем елозить по менюшкам

freese 02-11-2022 12:31 2995390
делаем список (layer 7 тут не нужен)
Код:
/ip firewall address-list
add address=relays.net.anydesk.com list=blacklist
микротик сам получит список ip и выведет результат опроса
Скрытый текст

401 узел ничёсе

далее добавляем блокирующее правило в фаервол
Код:
/ip firewall filter
add chain=forward action=drop dst-address-list=blacklist log=no
и желательно поместить его выше разрешающих

Цитата:
Цитата bredych
У микротика в консоли понятнее, чем елозить по менюшкам »
на вкус и цвет, мне например менюшки проще запомнить чем все комнады

Цитата:
Цитата poisonkit
1. Создал правило в IP->Firewall->L2 »
в начале попробуйте добавить
Код:
^.*(get|GET).+
чтобы получилось
Код:
^.*(get|GET).+(сайт1|сайт2|сайт3).*$

dmitryst 02-11-2022 18:34 2995416
Цитата:
Цитата freese
микротик сам получит список ip и выведет результат опроса »
красиво, конечно, но насколько часто будет обновляться этот список?
В доковидные времена список был из сотни хостов, и менялись они часто, не то что сейчас.


Время: 12:00.

Время: 12:00.
© OSzone.net 2001-