Allan Stark Опубликовано 28 июля, 2017 · Жалоба Здравствуйте Есть 30 филиалов (по 3-5 ПК в каждом). В эти филиалы будут ставиться Mikrotik hEX lite (https://mikrotik.com/product/RB750r2) в качестве роутеров. Филиалы будут сведены по vpn в центральный офис для централизованного администрирования, видеонаблюдения и репликации БД. Вопрос: можно ли с помощью Mikrotik предоставить доступ наружу (в Интернет) только к нескольким профильным сайтам (по их DNS именам) и запретить ПО типа TeamViewer и аналогичных? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 28 июля, 2017 · Жалоба Зависит от ваших профильных сайтов. Я как то пытался однажды разрешить фейсбук и запретить остальное. Оказалось, что там десятки доменов надо разрешить, чтобы он хотя бы открываться начал нормально... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 28 июля, 2017 (изменено) · Жалоба Вы определитесь что именно вы хотите сделать. Если блокировать весь инет кроме нескольких сайтов, то не мучайтесь и посмотрите в сторону skydns или подобного. Для большинства юзеров прокатывает нормально. Для продвинутых можно прозрачно перенаправлять DNS на нужный. А вот заблокировать ТВ на микротике, думаю будет не сложно(не пробовал, но проблем не вижу). Собственно как и любое приложение. Изменено 28 июля, 2017 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 29 июля, 2017 · Жалоба Разрешить профильные сайты вида *.ru, несколько штук. Никаких соцсетей, ютубов и прочего. Только эти несколько сайтов, все остальное нужно запретить. Просто Тимвьювер хитрый, если не получается по доменным именам - полезет по IP на распространенные порты (типа 80, 110 и иже с ними) либо на непривилегированные выше 1024. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 30 июля, 2017 · Жалоба Попробуйте тв блокировать так Сейчас под рукой микротика нет, проверить не могу, но раньше использовал такие правила: /ip firewall layer7-protocoladd name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate"add name=teamviewer1 regexp="^\\x17"add name=ammyy regexp=^.*rl.ammyy.com.*/ip firewall filteradd action=drop chain=forward layer7-protocol=teamviewer src-address-list=!yadminadd action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!yadminadd action=drop chain=forward layer7-protocol=ammyy src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!yadminadd action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!yadminadd action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!yadminadd action=drop chain=forward content="teamviewer.com" src-address-list=!yadmin[code]А для блокировки сайтов используйте SkyDns или аналогичное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...