Allan Stark Опубликовано 28 июля, 2017 Здравствуйте Есть 30 филиалов (по 3-5 ПК в каждом). В эти филиалы будут ставиться Mikrotik hEX lite (https://mikrotik.com/product/RB750r2) в качестве роутеров. Филиалы будут сведены по vpn в центральный офис для централизованного администрирования, видеонаблюдения и репликации БД. Вопрос: можно ли с помощью Mikrotik предоставить доступ наружу (в Интернет) только к нескольким профильным сайтам (по их DNS именам) и запретить ПО типа TeamViewer и аналогичных? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 28 июля, 2017 Зависит от ваших профильных сайтов. Я как то пытался однажды разрешить фейсбук и запретить остальное. Оказалось, что там десятки доменов надо разрешить, чтобы он хотя бы открываться начал нормально... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 28 июля, 2017 (изменено) Вы определитесь что именно вы хотите сделать. Если блокировать весь инет кроме нескольких сайтов, то не мучайтесь и посмотрите в сторону skydns или подобного. Для большинства юзеров прокатывает нормально. Для продвинутых можно прозрачно перенаправлять DNS на нужный. А вот заблокировать ТВ на микротике, думаю будет не сложно(не пробовал, но проблем не вижу). Собственно как и любое приложение. Изменено 28 июля, 2017 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 29 июля, 2017 Разрешить профильные сайты вида *.ru, несколько штук. Никаких соцсетей, ютубов и прочего. Только эти несколько сайтов, все остальное нужно запретить. Просто Тимвьювер хитрый, если не получается по доменным именам - полезет по IP на распространенные порты (типа 80, 110 и иже с ними) либо на непривилегированные выше 1024. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 30 июля, 2017 Попробуйте тв блокировать так Сейчас под рукой микротика нет, проверить не могу, но раньше использовал такие правила: /ip firewall layer7-protocoladd name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"add name=teamviewer1 regexp="^\\x17"add name=ammyy regexp=^.*rl.ammyy.com.*/ip firewall filteradd action=drop chain=forward layer7-protocol=teamviewer src-address-list=!yadminadd action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!yadminadd action=drop chain=forward layer7-protocol=ammyy src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!yadminadd action=drop chain=forward content="teamviewer.com" src-address-list=!yadmin[code]А для блокировки сайтов используйте SkyDns или аналогичное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...