Jump to content

Question

Posted

Не подскажите, можно ли собственными средствами заблокировать весь интернет кроме одного сайта? Причем разрешить именно по URL По IP не вариант... Платный тариф skydns нежелателен.

Recommended Posts

  • 0
Posted
13 часа назад, Andry Karcew сказал:

Не подскажите, можно ли собственными средствами заблокировать весь интернет

В мемориз. 

  • 0
Posted
8 часов назад, Mamay сказал:

В мемориз. 

Хорошо. 

Не подскажите, можно ли средствами NDMS2 заблокировать доступ ко всем ресурсам глобальной сети Internet, за исключением одного сайта?

так лучше?

  • 0
Posted
В 13.09.2017 в 08:06, Andry Karcew сказал:

Причем разрешить именно по URL По IP не вариант.

Почему по IP не вариант?. 

  • 0
Posted (edited)
11 минуту назад, Sfut сказал:

Почему по IP не вариант?. 

Ну конкретно нужен доступ ТОЛЬКО на сайт gosuslugi.ru. У него ведро ай-пишников да и при переходе внутри сайта разные разделы на разных IP. Вот сейчас пинганул популярные страницы 109.207.2.205 ; 109.207.3.91; 109.207.1.97

Edited by Andry Karcew
провел ping
  • 0
Guest ANDYBOND
Posted (edited)
30 минут назад, Andry Karcew сказал:

У него ведро ай-пишников

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Edited by ANDYBOND
  • 0
Posted
2 минуты назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Упс! а КАК разрешить ДИАПАЗОН? 

полез искать, но от совета не откажусь

  • 0
Posted
26 минут назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Эх, незадача... госуслуги работают по https, а это значит всем https доступ открыт?

"Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, "упаковываются" в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443."

  • 0
Posted

Настраивать нужно так:

- разрешаем исходящий https на 109.207.0.0/20

- разрешаем исходящий http на 109.207.0.0/20

- запрещаем все остальное

  • 0
Posted
2 минуты назад, arbayten сказал:

(утрируя) при осуществлении атаки на сервис еще желательно блокировать диапазон 213.59.252.0/22

дык заблокировано ВСЁ КРОМЕ? а это что за диапазон?

  • 0
Posted
17 минут назад, arbayten сказал:

хотя бы один днс оставить ... или ip host

DNS-у вообще все равно на ACL, а вот транзитный трафик весь уйдет вникуда.

  • 0
Posted
7 минут назад, Andry Karcew сказал:

Доигрался... потерял доступ к Виве.

Внутренюю  сеть что-ли забанил? )))) 

  • 0
Posted
1 минуту назад, MDP сказал:

Внутренюю  сеть что-ли забанил? )))) 

как-то так получилось.. правила составлял для интерфейса wifimaster. комп к виве по шнурку... доступ с компа потерял, но ч\з андроидный Майкинетик сбросил настройки. Правим заново.

  • 0
Posted (edited)
50 минут назад, Andry Karcew сказал:

Ну ёлки-палки! что я не так делаю?

2017-09-14_16-53-08.png

Ты источник с назначение попутал)))) ...первое правило разрешает всем локальным пользователям http наружу

источник адрес из внутренней сети , назначение внешний адрес

Edited by MDP
  • 0
Posted (edited)

первое правило убери совсем.

...и переставь в правилах источник и назначение местами.

 

Edited by MDP
  • 0
Posted (edited)

сойдёт ....а гости по внешним например FTP ресурсам лазить не будут?  ...так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

 

У меня вот так...только я перечислил локальные машины которым нужен интернет (полный) , остальным вообще всё запрещено (разруливает SkyDNS дальше) .

 

Снимок.PNG

Edited by MDP
  • 0
Posted

Воот про маску спасибо!

Скриншот снял, обновляю страницу, а по внутр адресу на Виву опять не войти. По внешнему адресу вхожу, по КинДНС вхожу, а по внутреннему (192,168,100,1) нет соединения. госуслуги - нет соединения....Может интерфейс не Home, а Бродкаст выбирать?

  • Y'r wrong 1
  • 0
Posted
2 часа назад, MDP сказал:

.так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

  • 0
Posted (edited)
2 часа назад, Andry Karcew сказал:

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

А если разобраться в примере ...это и есть белый список...работает то, что разрешено, остальное ( последним правилом ) все запрещено. Чем не белый список?

Edited by MDP
  • 0
Posted

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

  • 0
Posted
2 минуты назад, MDP сказал:

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

хотел бы про футбол  - пошел бы на футбольный форум.....

а если берем протокол ip = полный запрет?

  • 0
Posted

Да, ip это понимается как все протоколы ...tcp udp icmp  .... и тд

3 часа назад, Andry Karcew сказал:

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.