Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Блокировать почти весь интернет

Andry Karcew

Asked by Andry Karcew,

 Share

Question

Andry Karcew Advanced Member

Andry Karcew

Posted
Posted

Не подскажите, можно ли собственными средствами заблокировать весь интернет кроме одного сайта? Причем разрешить именно по URL По IP не вариант... Платный тариф skydns нежелателен.

37 answers to this question

Recommended Posts

  • 0
Mamay Honored Flooder

Mamay

Posted
Posted
13 часа назад, Andry Karcew сказал:

Не подскажите, можно ли собственными средствами заблокировать весь интернет

В мемориз. 

  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
8 часов назад, Mamay сказал:

В мемориз. 

Хорошо. 

Не подскажите, можно ли средствами NDMS2 заблокировать доступ ко всем ресурсам глобальной сети Internet, за исключением одного сайта?

так лучше?

  • 0
Sfut Honored Flooder

Sfut

Posted
Posted
В 13.09.2017 в 08:06, Andry Karcew сказал:

Причем разрешить именно по URL По IP не вариант.

Почему по IP не вариант?. 

  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted (edited)
11 минуту назад, Sfut сказал:

Почему по IP не вариант?. 

Ну конкретно нужен доступ ТОЛЬКО на сайт gosuslugi.ru. У него ведро ай-пишников да и при переходе внутри сайта разные разделы на разных IP. Вот сейчас пинганул популярные страницы 109.207.2.205 ; 109.207.3.91; 109.207.1.97

Edited by Andry Karcew
провел ping
  • 0
Guest ANDYBOND

Guest ANDYBOND

Posted
Posted (edited)
30 минут назад, Andry Karcew сказал:

У него ведро ай-пишников

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Edited by ANDYBOND
  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
2 минуты назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Упс! а КАК разрешить ДИАПАЗОН? 

полез искать, но от совета не откажусь

  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
26 минут назад, ANDYBOND сказал:

109.207.0.0/20 - этот диапазон адресов официально принадлежит этому сайту. Разрешить доступ только к этому диапазону - задача решена.

Эх, незадача... госуслуги работают по https, а это значит всем https доступ открыт?

"Важно! Некоторые веб-сайты помимо доступа по протоколу http имеют доступ к их ресурсам по безопасному протоколу https (например, сайт Одноклассники доступен по http://ok.ru и https://ok.ru). Протокол https — это расширение протокола http, поддерживающее шифрование. Протокол https применяет криптографический протокол TLS (Transport Layer Security) или SSL (Secure Sockets Layer). Данные, передаваемые по протоколу https, "упаковываются" в протокол TLS или SSL, обеспечивая защиту данных. В силу особенностей реализации протокола https заблокировать доступ в интернет-центре только к определенным сайтам, использующим этот протокол, не получится. В межсетевом экране можно заблокировать только весь трафик https (но в этом случае доступ будет заблокирован ко всем сайтам https://****). Это можно сделать, запретив порт tcp/443, т.к. в отличие от http, для https по умолчанию используется TCP-порт 443."

  • 0
Le ecureuil NetFriend

Le ecureuil

Posted
Posted

Настраивать нужно так:

- разрешаем исходящий https на 109.207.0.0/20

- разрешаем исходящий http на 109.207.0.0/20

- запрещаем все остальное

  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
2 минуты назад, arbayten сказал:

(утрируя) при осуществлении атаки на сервис еще желательно блокировать диапазон 213.59.252.0/22

дык заблокировано ВСЁ КРОМЕ? а это что за диапазон?

  • 0
Le ecureuil NetFriend

Le ecureuil

Posted
Posted
17 минут назад, arbayten сказал:

хотя бы один днс оставить ... или ip host

DNS-у вообще все равно на ACL, а вот транзитный трафик весь уйдет вникуда.

  • 0
MDP Honored Flooder

MDP

Posted
Posted
7 минут назад, Andry Karcew сказал:

Доигрался... потерял доступ к Виве.

Внутренюю  сеть что-ли забанил? )))) 

  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
1 минуту назад, MDP сказал:

Внутренюю  сеть что-ли забанил? )))) 

как-то так получилось.. правила составлял для интерфейса wifimaster. комп к виве по шнурку... доступ с компа потерял, но ч\з андроидный Майкинетик сбросил настройки. Правим заново.

  • 0
MDP Honored Flooder

MDP

Posted
Posted (edited)
50 минут назад, Andry Karcew сказал:

Ну ёлки-палки! что я не так делаю?

2017-09-14_16-53-08.png

Ты источник с назначение попутал)))) ...первое правило разрешает всем локальным пользователям http наружу

источник адрес из внутренней сети , назначение внешний адрес

Edited by MDP
  • 0
MDP Honored Flooder

MDP

Posted
Posted (edited)

первое правило убери совсем.

...и переставь в правилах источник и назначение местами.

 

Edited by MDP
  • 0
MDP Honored Flooder

MDP

Posted
Posted (edited)

сойдёт ....а гости по внешним например FTP ресурсам лазить не будут?  ...так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

 

У меня вот так...только я перечислил локальные машины которым нужен интернет (полный) , остальным вообще всё запрещено (разруливает SkyDNS дальше) .

 

Снимок.PNG

Edited by MDP
  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted

Воот про маску спасибо!

Скриншот снял, обновляю страницу, а по внутр адресу на Виву опять не войти. По внешнему адресу вхожу, по КинДНС вхожу, а по внутреннему (192,168,100,1) нет соединения. госуслуги - нет соединения....Может интерфейс не Home, а Бродкаст выбирать?

  • Y'r wrong 1
  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
2 часа назад, MDP сказал:

.так-то только 80 и 443 порты закрыты кроме 213,189,197,37 и 109,207,0,0/24

Я бы вообще последнее правило поставил запрещать всё и по всем портам и протоколам

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

  • 0
MDP Honored Flooder

MDP

Posted
Posted (edited)
2 часа назад, Andry Karcew сказал:

Как всё заморочено... Почему нельзя сделать " работать по белому списку"?

запрещать всё и по всем портам и требуется (хотя не обязательно... сумлеваюсь в лазанье паспортистками по фтп и прочим не стандартным портам.... хотя.... viber и телеграмм десктопные) а как? Я не нашел...

А если разобраться в примере ...это и есть белый список...работает то, что разрешено, остальное ( последним правилом ) все запрещено. Чем не белый список?

Edited by MDP
  • 0
MDP Honored Flooder

MDP

Posted
Posted

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

  • 0
Andry Karcew Advanced Member

Andry Karcew

Posted
  • Author
Posted
2 минуты назад, MDP сказал:

Открывайте лучше тему в курилке...)))...там и про футбол и о жизни поговорить можно)))

 

хотел бы про футбол  - пошел бы на футбольный форум.....

а если берем протокол ip = полный запрет?

  • 0
MDP Honored Flooder

MDP

Posted
Posted

Да, ip это понимается как все протоколы ...tcp udp icmp  .... и тд

3 часа назад, Andry Karcew сказал:

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept