Allan Stark Posted July 28, 2017 · Report post Здравствуйте Есть 30 филиалов (по 3-5 ПК в каждом). В эти филиалы будут ставиться Mikrotik hEX lite (https://mikrotik.com/product/RB750r2) в качестве роутеров. Филиалы будут сведены по vpn в центральный офис для централизованного администрирования, видеонаблюдения и репликации БД. Вопрос: можно ли с помощью Mikrotik предоставить доступ наружу (в Интернет) только к нескольким профильным сайтам (по их DNS именам) и запретить ПО типа TeamViewer и аналогичных? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted July 28, 2017 · Report post Зависит от ваших профильных сайтов. Я как то пытался однажды разрешить фейсбук и запретить остальное. Оказалось, что там десятки доменов надо разрешить, чтобы он хотя бы открываться начал нормально... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted July 28, 2017 (edited) · Report post Вы определитесь что именно вы хотите сделать. Если блокировать весь инет кроме нескольких сайтов, то не мучайтесь и посмотрите в сторону skydns или подобного. Для большинства юзеров прокатывает нормально. Для продвинутых можно прозрачно перенаправлять DNS на нужный. А вот заблокировать ТВ на микротике, думаю будет не сложно(не пробовал, но проблем не вижу). Собственно как и любое приложение. Edited July 28, 2017 by Leninxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Allan Stark Posted July 29, 2017 · Report post Разрешить профильные сайты вида *.ru, несколько штук. Никаких соцсетей, ютубов и прочего. Только эти несколько сайтов, все остальное нужно запретить. Просто Тимвьювер хитрый, если не получается по доменным именам - полезет по IP на распространенные порты (типа 80, 110 и иже с ними) либо на непривилегированные выше 1024. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted July 30, 2017 · Report post Попробуйте тв блокировать так Сейчас под рукой микротика нет, проверить не могу, но раньше использовал такие правила: /ip firewall layer7-protocoladd name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"add name=teamviewer1 regexp="^\\x17"add name=ammyy regexp=^.*rl.ammyy.com.*/ip firewall filteradd action=drop chain=forward layer7-protocol=teamviewer src-address-list=!yadminadd action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!yadminadd action=drop chain=forward layer7-protocol=ammyy src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!yadminadd action=drop chain=forward content="teamviewer.com" src-address-list=!yadmin[code]А для блокировки сайтов используйте SkyDns или аналогичное решение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...