svetogor82 Опубликовано 12 ноября, 2018 доброе время суток нужно блокировать teamviewer и исключениями add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=ammyy src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview add action=drop chain=forward content=teamviewer.com src-address-list=!en-teamview /ip firewall address-list add address=10.0.8.47 list=en-teamview /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* в итоге не подключает хост 10.0.8.47 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DobroFenix Опубликовано 12 ноября, 2018 Пинги очевидно тоже не ходят? При попытке пинга 10.0.8.47 смотрите на какое правила из Вашего списка падают пакеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svetogor82 Опубликовано 12 ноября, 2018 (изменено) если выключить правило add action=drop chain=forward disabled=yes layer7-protocol=teamviewer1 src-address-list=!en-teamview то teamviewer работает на всех компах сети а пинг тут при чём ? фильтрация идет через layer7-protocol и это только кусок firewall Изменено 12 ноября, 2018 пользователем svetogor82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krolikofff Опубликовано 7 декабря, 2018 А вам обычной блокировки порта не достаточно? На подобие такого add chain=forward action=drop protocol=tcp src-address-list=!tv_block in-interface=bridge-lan out-interface=wan dst-port=5938,5939,64904,64905 log=no log-prefix="" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 8 декабря, 2018 15 часов назад, krolikofff сказал: А вам обычной блокировки порта не достаточно? На подобие такого add chain=forward action=drop protocol=tcp src-address-list=!tv_block in-interface=bridge-lan out-interface=wan dst-port=5938,5939,64904,64905 log=no log-prefix="" Тимвьювер спокойно работает через 443 порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
krolikofff Опубликовано 8 декабря, 2018 Работать-то TV работает, да только соединение установить не может при нормально закрытом firewall. Или, мне просто везёт. Куда больше меня беспокоит то, что я не могу закрыть AnyDesk, вот это реальная проблема, он действительно через 443 работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svetogor82 Опубликовано 11 декабря, 2018 On 09.12.2018 at 2:22 AM, krolikofff said: Работать-то TV работает, да только соединение установить не может при нормально закрытом firewall. Или, мне просто везёт. Куда больше меня беспокоит то, что я не могу закрыть AnyDesk, вот это реальная проблема, он действительно через 443 работает. а если закрыть ихние подсети https://support.anydesk.com/Firewall что то пипа /ip firewall filter add action=drop chain=forward comment=anydesk dst-address-list=anydesk /ip firewall address-list add address=relays.net.anydesk.com list=anydesk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...