Перейти к содержимому
Калькуляторы

Запрет Teamviewer на Mikrotik Ограничение доступа некоторых к Teamwiewer

Здравствуйте уважаемые господа. Подскажите пожалуйста как напрочь закрыть доступ к Teamviewer всем пользователям кроме как админам на роутере Mikrotik???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

монополию на звание "самого умного" захотелось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2_zova

Ну зачем так сразу резко? TeamViewer по организации доступа мало отличается от BackDoor-трояна, + все сервера на западе + санкции +немного паранойи = ??? :)

А если по делу - желание топикстартера вполне оправдано, я давно заблокировал сию софтину (и себе тоже, старый добрый TightVNC более по нраву).

 

2_sulik

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

А как насчет? ;-)

ip firewall layer7-protocol export file=L7_firewall

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

2_sulik

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

На 7-ом уровне он блокирует всех. !Исключение из правила не работает таким образом. Regxp которые нашел (^(post|get) /d(out|in).aspx\?.*client=dyngate) (^\x17). Я в Regxp не силен и не могу под себя написать. Пользуюсь чужим добром :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall layer7-protocol

add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"

add name=teamviewer1 regexp="^\\x17"

add name=ammyy regexp=^.*rl.ammyy.com.*

 

/ip firewall filter

add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview

add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview

add action=drop chain=forward disabled=yes layer7-protocol=ammyy src-address-list=!en-teamview

add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview

 

 

Export сделать и подправить с ноутом все же легче чем с планшетом :)

 

PS И да, я так же чужим добром пользуюсь. А исключения сделаны просто: address-list с адресами кому разрешать тимку. Если TeamViewer дать залогиниться, то и !address-list не спасает - все равно работает зараза.

Изменено пользователем DAF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

монополию на звание "самого умного" захотелось?

Считал бы я себя "самым умным" не появился бы тут! Не хочешь помогать, хотя бы не высмеивай других за их ошибки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-)

 

Действенное дополнение, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

вместо !team разве не !en-teamview надо ставить?

Изменено пользователем reinhard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все равно прорывается соединение... по ip банить нудно, если только зоны откуда то вытащить целиком...

Может кто усовершенствовал правила?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если на предприятии есть свой DNS-сервер, можно завести на нем фейковую зону teamviewer.com. Запретить форвард 53 tcp/udp на микротике всем кроме DNS-сервера. Ну и зарезать права юзерам на редактирование файла hosts

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как тогда исключения делать?

Ну админы же, hosts или внешний dns на время разрешить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не получится! Получится либо всем запретить пользоваться теамкой либо сам админ будет временно открывать порт 5938 по надобности. Единственное что можно сделать так это в адреслист добавить исключение админского пк на котором не будет ограничений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.