Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Блокировать почти весь интернет

Andry Karcew

Ответ от Andry Karcew,

 Поделиться

Вопрос

Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
Опубликовано

Не подскажите, можно ли собственными средствами заблокировать весь интернет кроме одного сайта? Причем разрешить именно по URL По IP не вариант... Платный тариф skydns нежелателен.

37 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Mamay Старожил

Mamay

Опубликовано
Опубликовано
13 часа назад, Andry Karcew сказал:

Не подскажите, можно ли собственными средствами заблокировать весь интернет

В мемориз. 

  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
8 часов назад, Mamay сказал:

В мемориз. 

Хорошо. 

Не подскажите, можно ли средствами NDMS2 заблокировать доступ ко всем ресурсам глобальной сети Internet, за исключением одного сайта?

так лучше?

  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано (изменено)
11 минуту назад, Sfut сказал:

Почему по IP не вариант?. 

Ну конкретно нужен доступ ТОЛЬКО на сайт gosuslugi.ru. У него ведро ай-пишников да и при переходе внутри сайта разные разделы на разных IP. Вот сейчас пинганул популярные страницы 109.207.2.205 ; 109.207.3.91; 109.207.1.97

Изменено пользователем Andry Karcew
провел ping
  • 0
Гость ANDYBOND

Гость ANDYBOND

Опубликовано
Опубликовано (изменено)
30 минут назад, Andry Karcew сказал:

У него ведро ай-пишников

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Изменено пользователем ANDYBOND
  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
2 минуты назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Упс! а КАК разрешить ДИАПАЗОН? 

полез искать, но от совета не откажусь

  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
26 минут назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Эх, незадача... госуслуги работают по https, а это значит всем https доступ открыт?

"Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, "упаковываются" в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443."

  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
2 минуты назад, arbayten сказал:

(утрируя) при осуществлении атаки на сервис еще желательно блокировать диапазон 213.59.252.0/22

дык заблокировано ВСЁ КРОМЕ? а это что за диапазон?

  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
1 минуту назад, MDP сказал:

Внутренюю  сеть что-ли забанил? )))) 

как-то так получилось.. правила составлял для интерфейса wifimaster. комп к виве по шнурку... доступ с компа потерял, но ч\з андроидный Майкинетик сбросил настройки. Правим заново.

  • 0
MDP Старожил

MDP

Опубликовано
Опубликовано (изменено)
50 минут назад, Andry Karcew сказал:

Ну ёлки-палки! что я не так делаю?

2017-09-14_16-53-08.png

Ты источник с назначение попутал)))) ...первое правило разрешает всем локальным пользователям http наружу

источник адрес из внутренней сети , назначение внешний адрес

Изменено пользователем MDP
  • 0
MDP Старожил

MDP

Опубликовано
Опубликовано (изменено)

первое правило убери совсем.

...и переставь в правилах источник и назначение местами.

 

Изменено пользователем MDP
  • 0
MDP Старожил

MDP

Опубликовано
Опубликовано (изменено)

сойдёт ....а гости по внешним например FTP ресурсам лазить не будут?  ...так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

 

У меня вот так...только я перечислил локальные машины которым нужен интернет (полный) , остальным вообще всё запрещено (разруливает SkyDNS дальше) .

 

Снимок.PNG

Изменено пользователем MDP
  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано

Воот про маску спасибо!

Скриншот снял, обновляю страницу, а по внутр адресу на Виву опять не войти. По внешнему адресу вхожу, по КинДНС вхожу, а по внутреннему (192,168,100,1) нет соединения. госуслуги - нет соединения....Может интерфейс не Home, а Бродкаст выбирать?

  • Не согласен 1
  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
2 часа назад, MDP сказал:

.так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

  • 0
MDP Старожил

MDP

Опубликовано
Опубликовано (изменено)
2 часа назад, Andry Karcew сказал:

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

А если разобраться в примере ...это и есть белый список...работает то, что разрешено, остальное ( последним правилом ) все запрещено. Чем не белый список?

Изменено пользователем MDP
  • 0
Andry Karcew Продвинутый пользователь

Andry Karcew

Опубликовано
  • Автор
Опубликовано
2 минуты назад, MDP сказал:

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

хотел бы про футбол  - пошел бы на футбольный форум.....

а если берем протокол ip = полный запрет?

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю