Jump to content
Калькуляторы

Запрет Teamviewer на Mikrotik Ограничение доступа некоторых к Teamwiewer

sulik   

sulik
Posted · Report post

Здравствуйте уважаемые господа. Подскажите пожалуйста как напрочь закрыть доступ к Teamviewer всем пользователям кроме как админам на роутере Mikrotik???

Share this post

Link to post
Share on other sites

zova   

zova
Posted · Report post

монополию на звание "самого умного" захотелось?

Share this post

Link to post
Share on other sites

DAF   

DAF
Posted · Report post

2_zova

Ну зачем так сразу резко? TeamViewer по организации доступа мало отличается от BackDoor-трояна, + все сервера на западе + санкции +немного паранойи = ??? :)

А если по делу - желание топикстартера вполне оправдано, я давно заблокировал сию софтину (и себе тоже, старый добрый TightVNC более по нраву).

 

2_sulik

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

Share this post

Link to post
Share on other sites

Saiko   

Saiko
Posted · Report post

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

А как насчет? ;-)

ip firewall layer7-protocol export file=L7_firewall

Share this post

Link to post
Share on other sites

sulik   

sulik
Posted · Report post

 

2_sulik

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

На 7-ом уровне он блокирует всех. !Исключение из правила не работает таким образом. Regxp которые нашел (^(post|get) /d(out|in).aspx\?.*client=dyngate) (^\x17). Я в Regxp не силен и не могу под себя написать. Пользуюсь чужим добром :-)

Share this post

Link to post
Share on other sites

DAF   

DAF
Posted (edited) · Report post

/ip firewall layer7-protocol

add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"

add name=teamviewer1 regexp="^\\x17"

add name=ammyy regexp=^.*rl.ammyy.com.*

 

/ip firewall filter

add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview

add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview

add action=drop chain=forward disabled=yes layer7-protocol=ammyy src-address-list=!en-teamview

add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview

 

 

Export сделать и подправить с ноутом все же легче чем с планшетом :)

 

PS И да, я так же чужим добром пользуюсь. А исключения сделаны просто: address-list с адресами кому разрешать тимку. Если TeamViewer дать залогиниться, то и !address-list не спасает - все равно работает зараза.

Edited by DAF

Share this post

Link to post
Share on other sites

sulik   

sulik
Posted · Report post

монополию на звание "самого умного" захотелось?

Считал бы я себя "самым умным" не появился бы тут! Не хочешь помогать, хотя бы не высмеивай других за их ошибки.

Share this post

Link to post
Share on other sites

sulik   

sulik
Posted · Report post

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-)

Share this post

Link to post
Share on other sites

DAF   

DAF
Posted · Report post

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-)

 

Действенное дополнение, спасибо.

Share this post

Link to post
Share on other sites

reinhard   

reinhard
Posted (edited) · Report post

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

вместо !team разве не !en-teamview надо ставить?

Edited by reinhard

Share this post

Link to post
Share on other sites

amper   

amper
Posted · Report post

Все равно прорывается соединение... по ip банить нудно, если только зоны откуда то вытащить целиком...

Может кто усовершенствовал правила?

Share this post

Link to post
Share on other sites

EugeneTV   

EugeneTV
Posted · Report post

Если на предприятии есть свой DNS-сервер, можно завести на нем фейковую зону teamviewer.com. Запретить форвард 53 tcp/udp на микротике всем кроме DNS-сервера. Ну и зарезать права юзерам на редактирование файла hosts

Share this post

Link to post
Share on other sites

amper   

amper
Posted · Report post

А как тогда исключения делать?

Share this post

Link to post
Share on other sites

EugeneTV   

EugeneTV
Posted · Report post

А как тогда исключения делать?

Ну админы же, hosts или внешний dns на время разрешить

Share this post

Link to post
Share on other sites

777BLOODER777   

777BLOODER777
Posted · Report post

Не получится! Получится либо всем запретить пользоваться теамкой либо сам админ будет временно открывать порт 5938 по надобности. Единственное что можно сделать так это в адреслист добавить исключение админского пк на котором не будет ограничений.

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  
Followers 0
Go To Topic Listing Mikrotik Wireless