Allan Stark Posted July 28, 2017 · Report post Здравствуйте Есть 30 филиалов (по 3-5 ПК в каждом). В эти филиалы будут ставиться Mikrotik hEX lite (https://mikrotik.com/product/RB750r2) в качестве роутеров. Филиалы будут сведены по vpn в центральный офис для централизованного администрирования, видеонаблюдения и репликации БД. Вопрос: можно ли с помощью Mikrotik предоставить доступ наружу (в Интернет) только к нескольким профильным сайтам (по их DNS именам) и запретить ПО типа TeamViewer и аналогичных? Share this post Link to post Share on other sites
maxkst Posted July 28, 2017 · Report post Зависит от ваших профильных сайтов. Я как то пытался однажды разрешить фейсбук и запретить остальное. Оказалось, что там десятки доменов надо разрешить, чтобы он хотя бы открываться начал нормально... Share this post Link to post Share on other sites
Leninxxx Posted July 28, 2017 (edited) · Report post Вы определитесь что именно вы хотите сделать. Если блокировать весь инет кроме нескольких сайтов, то не мучайтесь и посмотрите в сторону skydns или подобного. Для большинства юзеров прокатывает нормально. Для продвинутых можно прозрачно перенаправлять DNS на нужный. А вот заблокировать ТВ на микротике, думаю будет не сложно(не пробовал, но проблем не вижу). Собственно как и любое приложение. Edited July 28, 2017 by Leninxxx Share this post Link to post Share on other sites
Allan Stark Posted July 29, 2017 · Report post Разрешить профильные сайты вида *.ru, несколько штук. Никаких соцсетей, ютубов и прочего. Только эти несколько сайтов, все остальное нужно запретить. Просто Тимвьювер хитрый, если не получается по доменным именам - полезет по IP на распространенные порты (типа 80, 110 и иже с ними) либо на непривилегированные выше 1024. Share this post Link to post Share on other sites
Leninxxx Posted July 30, 2017 · Report post Попробуйте тв блокировать так Сейчас под рукой микротика нет, проверить не могу, но раньше использовал такие правила: /ip firewall layer7-protocoladd name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"add name=teamviewer1 regexp="^\\x17"add name=ammyy regexp=^.*rl.ammyy.com.*/ip firewall filteradd action=drop chain=forward layer7-protocol=teamviewer src-address-list=!yadminadd action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!yadminadd action=drop chain=forward layer7-protocol=ammyy src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!yadminadd action=drop chain=forward content="teamviewer.com" src-address-list=!yadmin[code]А для блокировки сайтов используйте SkyDns или аналогичное решение. Share this post Link to post Share on other sites
