Jump to content
Калькуляторы

Запрет Teamviewer на Mikrotik Ограничение доступа некоторых к Teamwiewer

Здравствуйте уважаемые господа. Подскажите пожалуйста как напрочь закрыть доступ к Teamviewer всем пользователям кроме как админам на роутере Mikrotik???

Share this post


Link to post
Share on other sites

2_zova

Ну зачем так сразу резко? TeamViewer по организации доступа мало отличается от BackDoor-трояна, + все сервера на западе + санкции +немного паранойи = ??? :)

А если по делу - желание топикстартера вполне оправдано, я давно заблокировал сию софтину (и себе тоже, старый добрый TightVNC более по нраву).

 

2_sulik

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

Share this post


Link to post
Share on other sites

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

А как насчет? ;-)

ip firewall layer7-protocol export file=L7_firewall

Share this post


Link to post
Share on other sites

 

2_sulik

RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ...

:( )

На 7-ом уровне он блокирует всех. !Исключение из правила не работает таким образом. Regxp которые нашел (^(post|get) /d(out|in).aspx\?.*client=dyngate) (^\x17). Я в Regxp не силен и не могу под себя написать. Пользуюсь чужим добром :-)

Share this post


Link to post
Share on other sites

/ip firewall layer7-protocol

add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"

add name=teamviewer1 regexp="^\\x17"

add name=ammyy regexp=^.*rl.ammyy.com.*

 

/ip firewall filter

add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview

add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview

add action=drop chain=forward disabled=yes layer7-protocol=ammyy src-address-list=!en-teamview

add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview

add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview

 

 

Export сделать и подправить с ноутом все же легче чем с планшетом :)

 

PS И да, я так же чужим добром пользуюсь. А исключения сделаны просто: address-list с адресами кому разрешать тимку. Если TeamViewer дать залогиниться, то и !address-list не спасает - все равно работает зараза.

Edited by DAF

Share this post


Link to post
Share on other sites

монополию на звание "самого умного" захотелось?

Считал бы я себя "самым умным" не появился бы тут! Не хочешь помогать, хотя бы не высмеивай других за их ошибки.

Share this post


Link to post
Share on other sites

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-)

Share this post


Link to post
Share on other sites

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-)

 

Действенное дополнение, спасибо.

Share this post


Link to post
Share on other sites

6 chain=forward action=drop src-address-list=!team

content=teamviewer.com

 

вместо !team разве не !en-teamview надо ставить?

Edited by reinhard

Share this post


Link to post
Share on other sites

Все равно прорывается соединение... по ip банить нудно, если только зоны откуда то вытащить целиком...

Может кто усовершенствовал правила?

Share this post


Link to post
Share on other sites

Если на предприятии есть свой DNS-сервер, можно завести на нем фейковую зону teamviewer.com. Запретить форвард 53 tcp/udp на микротике всем кроме DNS-сервера. Ну и зарезать права юзерам на редактирование файла hosts

Share this post


Link to post
Share on other sites

Не получится! Получится либо всем запретить пользоваться теамкой либо сам админ будет временно открывать порт 5938 по надобности. Единственное что можно сделать так это в адреслист добавить исключение админского пк на котором не будет ограничений.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.