Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Что делаю неправильно при создании правила межсетевого экрана?

_Mickey_

Ответ от _Mickey_,

 Поделиться

Вопрос

_Mickey_ Новичок

_Mickey_

Опубликовано
Опубликовано (изменено)

Добрый день уважаемые форумчане!


Есть задача - ограничить доступ конкретному компу в инет. 

 

Что делаю: 

1. Создаю два запрещающих правила для исходящего IP на все внешние IP для TCP/80 и TCP/443, помещаю в конец списка.

 

2. Узнаю нужный мне IP сайта который надо разрешить (translate.yandex.ru). Создаю два разрешающих правила (TCP/80 и TCP/443) для конкретного локального IP на внешний IP: 213.180.204.193, помещаю в начало списка.

Результат:

Никакие сайты кроме translate.yandex.ru не открываются и это хорошо.

 

При попытке перевести слово, сайт отвечает, что перевод выполнить не удалось.

 

Отключаем запрещающие правила, все работает.

 

Аналогичная история с входом на login.mos.ru в школьный дневник. Базовая страница открывается, но при попытке войти в аккаунт, сайт выдает ошибку по таймауту. 

 

Что делаю не так?

Роутер: 

Keenetic Giga (KN-1010)

v.4.3.6.3

IMG_2689.jpeg

IMG_2690.jpeg

Изменено пользователем _Mickey_
дополнение сообщения подробностями

5 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Илья Картавенко Старожил

Илья Картавенко

Опубликовано
Опубликовано
5 минут назад, _Mickey_ сказал:

 

Добрый день уважаемые форумчане!


Есть задача - ограничить доступ конкретному компу в инет. 

 

Что делаю: 

1. Создаю два запрещающих правила для исходящего IP на все внешние IP для TCP/80 и TCP/443, помещаю в конец списка.

 

2. Узнаю нужный мне IP сайта который надо разрешить (translate.yandex.ru). Создаю два разрешающих правила (TCP/80 и TCP/443) для конкретного локального IP на внешний IP: 213.180.204.193, помещаю в начало списка.

Результат:

Никакие сайты кроме translate.yandex.ru не открываются и это хорошо.

 

При попытке перевести слово, сайт отвечает, что перевод выполнить не удалось.

 

Отключаем запрещающие правила, все работает.

 

Аналогичная история с входом на login.mos.ru в школьный дневник. Базовая страница открывается, но при попытке войти в аккаунт, сайт выдает ошибку по таймауту. 

 

Что делаю не так?

Определите диапазон ip для этих сайтов и сделайте разрешающее правило.

  • 0
_Mickey_ Новичок

_Mickey_

Опубликовано
  • Автор
Опубликовано (изменено)
9 минут назад, Илья Картавенко сказал:

Определите диапазон ip для этих сайтов и сделайте разрешающее правило.

nslookup выдал только один ip для translate.yandex.ru, поэтому я посчитал что будет достаточно указать один ip а не диапазон. Хорошо, буду пробовать. 

Кстати,  когда пробовал указывать диапазон, его в межсетевом экране я могу задать только через указание IP (подозреваю, что имеется ввиду начальный адрес) и маску подсети и при этом нужно выбрать из вариантов на выбор, которые, как мне кажется, не всегда соответствуют моей задаче.

и да при попытке указать диапазон, правило перестает работать и сайт недоступен вообще, подозреваю, что просто неверно указываю диапазон, но как верно прописать не понимаю.

Изменено пользователем _Mickey_
  • 0
Илья Картавенко Старожил

Илья Картавенко

Опубликовано
Опубликовано
4 минуты назад, _Mickey_ сказал:

nslookup выдал только один ip для translate.yandex.ru, поэтому я посчитал что будет достаточно указать один ip а не диапазон. Хорошо, буду пробовать. 

Кстати,  когда пробовал указывать диапазон его можно в межсетевом экране я могу задать только через указание IP (подозреваю, что имеется вамду начальный адрес) и маску подсети и при этом нужно выбрать из вариантов на выбор, которые как мне кажется не всегда соответствуют моей задаче.

и да при попытке указать диапазон правило перестает работать и сайт недоступен вообще, подозреваю, что просто неверно указывается диапазон, но как верно прописать не понимаю.

Попробуйте найти cidr для этого сайта или определить ip с помощью DomainMapper. Возможно придется задать по одному правилу на ip.

  • 0
VVS Старожил

VVS

Опубликовано
Опубликовано

IMHO задача практически невыполнима.

Посмотрите список адресов, на которые ссылается указанный Вами сайт.

 

22-02-2026_16-12-27.png

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю