Jump to content
  • 0
Andry Karcew

Блокировать почти весь интернет

Question

Не подскажите, можно ли собственными средствами заблокировать весь интернет кроме одного сайта? Причем разрешить именно по URL По IP не вариант... Платный тариф skydns нежелателен.

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
13 часа назад, Andry Karcew сказал:

Не подскажите, можно ли собственными средствами заблокировать весь интернет

В мемориз. 

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, Mamay сказал:

В мемориз. 

Хорошо. 

Не подскажите, можно ли средствами NDMS2 заблокировать доступ ко всем ресурсам глобальной сети Internet, за исключением одного сайта?

так лучше?

Share this post


Link to post
Share on other sites
  • 0
В 13.09.2017 в 08:06, Andry Karcew сказал:

Причем разрешить именно по URL По IP не вариант.

Почему по IP не вариант?. 

Share this post


Link to post
Share on other sites
  • 0
11 минуту назад, Sfut сказал:

Почему по IP не вариант?. 

Ну конкретно нужен доступ ТОЛЬКО на сайт gosuslugi.ru. У него ведро ай-пишников да и при переходе внутри сайта разные разделы на разных IP. Вот сейчас пинганул популярные страницы 109.207.2.205 ; 109.207.3.91; 109.207.1.97

Edited by Andry Karcew
провел ping

Share this post


Link to post
Share on other sites
  • 0
30 минут назад, Andry Karcew сказал:

У него ведро ай-пишников

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Edited by ANDYBOND

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Упс! а КАК разрешить ДИАПАЗОН? 

полез искать, но от совета не откажусь

Share this post


Link to post
Share on other sites
  • 0
26 минут назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Эх, незадача... госуслуги работают по https, а это значит всем https доступ открыт?

"Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, "упаковываются" в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443."

Share this post


Link to post
Share on other sites
  • 0

Настраивать нужно так:

- разрешаем исходящий https на 109.207.0.0/20

- разрешаем исходящий http на 109.207.0.0/20

- запрещаем все остальное

Share this post


Link to post
Share on other sites
  • 0

(утрируя) при осуществлении атаки на сервис еще желательно блокировать диапазон 213.59.252.0/22

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, Le ecureuil сказал:

- запрещаем все остальное

хотя бы один днс оставить ... или ip host

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, arbayten сказал:

(утрируя) при осуществлении атаки на сервис еще желательно блокировать диапазон 213.59.252.0/22

дык заблокировано ВСЁ КРОМЕ? а это что за диапазон?

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, Andry Karcew сказал:

а это что за диапазон

запасное колесо видимо

Share this post


Link to post
Share on other sites
  • 0
17 минут назад, arbayten сказал:

хотя бы один днс оставить ... или ip host

DNS-у вообще все равно на ACL, а вот транзитный трафик весь уйдет вникуда.

Share this post


Link to post
Share on other sites
  • 0
7 минут назад, Andry Karcew сказал:

Доигрался... потерял доступ к Виве.

Внутренюю  сеть что-ли забанил? )))) 

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, MDP сказал:

Внутренюю  сеть что-ли забанил? )))) 

как-то так получилось.. правила составлял для интерфейса wifimaster. комп к виве по шнурку... доступ с компа потерял, но ч\з андроидный Майкинетик сбросил настройки. Правим заново.

Share this post


Link to post
Share on other sites
  • 0
50 минут назад, Andry Karcew сказал:

Ну ёлки-палки! что я не так делаю?

2017-09-14_16-53-08.png

Ты источник с назначение попутал)))) ...первое правило разрешает всем локальным пользователям http наружу

источник адрес из внутренней сети , назначение внешний адрес

Edited by MDP

Share this post


Link to post
Share on other sites
  • 0

первое правило убери совсем.

...и переставь в правилах источник и назначение местами.

 

Edited by MDP

Share this post


Link to post
Share on other sites
  • 0

сойдёт ....а гости по внешним например FTP ресурсам лазить не будут?  ...так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

 

У меня вот так...только я перечислил локальные машины которым нужен интернет (полный) , остальным вообще всё запрещено (разруливает SkyDNS дальше) .

 

Снимок.PNG

Edited by MDP

Share this post


Link to post
Share on other sites
  • 0

Еще не забудьте, что у вас подсеть назначения - /20, а не /24, как у вас.

Share this post


Link to post
Share on other sites
  • 0

Воот про маску спасибо!

Скриншот снял, обновляю страницу, а по внутр адресу на Виву опять не войти. По внешнему адресу вхожу, по КинДНС вхожу, а по внутреннему (192,168,100,1) нет соединения. госуслуги - нет соединения....Может интерфейс не Home, а Бродкаст выбирать?

  • Y'r wrong 1

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, MDP сказал:

.так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Andry Karcew сказал:

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

А если разобраться в примере ...это и есть белый список...работает то, что разрешено, остальное ( последним правилом ) все запрещено. Чем не белый список?

Edited by MDP

Share this post


Link to post
Share on other sites
  • 0

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, MDP сказал:

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

хотел бы про футбол  - пошел бы на футбольный форум.....

а если берем протокол ip = полный запрет?

Share this post


Link to post
Share on other sites
  • 0

Да, ip это понимается как все протоколы ...tcp udp icmp  .... и тд

3 часа назад, Andry Karcew сказал:

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...