Allan Stark Posted July 28, 2017 Posted July 28, 2017 Здравствуйте Есть 30 филиалов (по 3-5 ПК в каждом). В эти филиалы будут ставиться Mikrotik hEX lite (https://mikrotik.com/product/RB750r2) в качестве роутеров. Филиалы будут сведены по vpn в центральный офис для централизованного администрирования, видеонаблюдения и репликации БД. Вопрос: можно ли с помощью Mikrotik предоставить доступ наружу (в Интернет) только к нескольким профильным сайтам (по их DNS именам) и запретить ПО типа TeamViewer и аналогичных? Вставить ник Quote
maxkst Posted July 28, 2017 Posted July 28, 2017 Зависит от ваших профильных сайтов. Я как то пытался однажды разрешить фейсбук и запретить остальное. Оказалось, что там десятки доменов надо разрешить, чтобы он хотя бы открываться начал нормально... Вставить ник Quote
Leninxxx Posted July 28, 2017 Posted July 28, 2017 (edited) Вы определитесь что именно вы хотите сделать. Если блокировать весь инет кроме нескольких сайтов, то не мучайтесь и посмотрите в сторону skydns или подобного. Для большинства юзеров прокатывает нормально. Для продвинутых можно прозрачно перенаправлять DNS на нужный. А вот заблокировать ТВ на микротике, думаю будет не сложно(не пробовал, но проблем не вижу). Собственно как и любое приложение. Edited July 28, 2017 by Leninxxx Вставить ник Quote
Allan Stark Posted July 29, 2017 Author Posted July 29, 2017 Разрешить профильные сайты вида *.ru, несколько штук. Никаких соцсетей, ютубов и прочего. Только эти несколько сайтов, все остальное нужно запретить. Просто Тимвьювер хитрый, если не получается по доменным именам - полезет по IP на распространенные порты (типа 80, 110 и иже с ними) либо на непривилегированные выше 1024. Вставить ник Quote
Leninxxx Posted July 30, 2017 Posted July 30, 2017 Попробуйте тв блокировать так Сейчас под рукой микротика нет, проверить не могу, но раньше использовал такие правила: /ip firewall layer7-protocoladd name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"add name=teamviewer1 regexp="^\\x17"add name=ammyy regexp=^.*rl.ammyy.com.*/ip firewall filteradd action=drop chain=forward layer7-protocol=teamviewer src-address-list=!yadminadd action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!yadminadd action=drop chain=forward layer7-protocol=ammyy src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!yadminadd action=drop chain=forward content="teamviewer.com" src-address-list=!yadmin[code]А для блокировки сайтов используйте SkyDns или аналогичное решение. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.