sulik Posted December 26, 2014 Здравствуйте уважаемые господа. Подскажите пожалуйста как напрочь закрыть доступ к Teamviewer всем пользователям кроме как админам на роутере Mikrotik??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zova Posted December 28, 2014 монополию на звание "самого умного" захотелось? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted December 29, 2014 2_zova Ну зачем так сразу резко? TeamViewer по организации доступа мало отличается от BackDoor-трояна, + все сервера на западе + санкции +немного паранойи = ??? :) А если по делу - желание топикстартера вполне оправдано, я давно заблокировал сию софтину (и себе тоже, старый добрый TightVNC более по нраву). 2_sulik RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ... :( ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saiko Posted December 29, 2014 RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ... :( ) А как насчет? ;-) ip firewall layer7-protocol export file=L7_firewall Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sulik Posted December 29, 2014 2_sulik RouterOS позволяет блокировать TeamViewer на L7 - гугл в помощь. (у меня исходный *.txt похоронен со сдохшим HDD, а через /export compact выковыривать ... :( ) На 7-ом уровне он блокирует всех. !Исключение из правила не работает таким образом. Regxp которые нашел (^(post|get) /d(out|in).aspx\?.*client=dyngate) (^\x17). Я в Regxp не силен и не могу под себя написать. Пользуюсь чужим добром :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted December 29, 2014 (edited) /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* /ip firewall filter add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview add action=drop chain=forward disabled=yes layer7-protocol=ammyy src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview Export сделать и подправить с ноутом все же легче чем с планшетом :) PS И да, я так же чужим добром пользуюсь. А исключения сделаны просто: address-list с адресами кому разрешать тимку. Если TeamViewer дать залогиниться, то и !address-list не спасает - все равно работает зараза. Edited December 29, 2014 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sulik Posted December 29, 2014 монополию на звание "самого умного" захотелось? Считал бы я себя "самым умным" не появился бы тут! Не хочешь помогать, хотя бы не высмеивай других за их ошибки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sulik Posted December 29, 2014 6 chain=forward action=drop src-address-list=!team content=teamviewer.com Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted December 31, 2014 6 chain=forward action=drop src-address-list=!team content=teamviewer.com Вот еще одно правило необходимое для блокировки вьювера. Теперь можно контролировать как захочешь. :-) Действенное дополнение, спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reinhard Posted February 20, 2015 (edited) 6 chain=forward action=drop src-address-list=!team content=teamviewer.com вместо !team разве не !en-teamview надо ставить? Edited February 20, 2015 by reinhard Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
amper Posted May 3, 2017 Все равно прорывается соединение... по ip банить нудно, если только зоны откуда то вытащить целиком... Может кто усовершенствовал правила? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted May 17, 2017 Если на предприятии есть свой DNS-сервер, можно завести на нем фейковую зону teamviewer.com. Запретить форвард 53 tcp/udp на микротике всем кроме DNS-сервера. Ну и зарезать права юзерам на редактирование файла hosts Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
amper Posted May 17, 2017 А как тогда исключения делать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted May 17, 2017 А как тогда исключения делать? Ну админы же, hosts или внешний dns на время разрешить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
777BLOODER777 Posted May 22, 2017 Не получится! Получится либо всем запретить пользоваться теамкой либо сам админ будет временно открывать порт 5938 по надобности. Единственное что можно сделать так это в адреслист добавить исключение админского пк на котором не будет ограничений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...