Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



 
Ответить в эту темуОткрыть новую тему
> Выборочная блокировка интернета
IDE7
сообщение 31.7.2016, 10:23
Сообщение #1


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 418
Регистрация: 22.3.2012
Пользователь №: 428 351



Репутация:   18  


Такая задача :
нужно заблокировать на компьютере интернет , но оставить доступ для средств удалённого доступа : TeamViewer , RDP ,.. Так же оставить возможность обновления баз для антивирусной программы.
ОС - Windows 7 (8).
Интернет на компьютер может подаваться через WiFi , мобильный модем , кабель.

Желательны простые способы.

Сообщение отредактировал IDE7 - 31.7.2016, 10:29
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 31.7.2016, 11:20
Сообщение #2


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Простых способов нет. Есть более-менее простой, если готов отказаться от TeamViewer-а, WiFi и 3г.

1. Создаёшь на другой машине в сети локальное зеркало обновлений для антивируса (пример), после чего расшариваешь папку с обновлениями и указываешь её в качестве источника обновлений на заблокированном компьютере. Можно сделать иначе - посмотреть, какой используется сервер для обновлений в настройках антивирусной программы, пробить его IP, внести соответствующую запись в hosts и прописать постоянный статический маршрут до IP через основной шлюз.
2. Приобретаешь статический IP-адрес для того компьютера, с которого ты планируешь заходить по RDP.
3. Делаешь на роутере проброс для RDP.
4. На заблокированном компьютере прописываешь постоянный статический маршрут до IP, с которого будешь заходить по RDP.
5. Удаляешь основной шлюз и DNS-ы на заблокированном компьютере. При необходимости на шлюзе можно поправить фаервол, чтобы шаловливая бухгалтерша не смогла получить доступ в интернет, прописав шлюз и DNS-ы. Хотя можно для этих целей создать урезанную в правах учётку на компьютере.

А лучше всё-таки обратиться к своему системному администратору.

Кстати, ищу работу smile.gif.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
IDE7
сообщение 31.7.2016, 17:27
Сообщение #3


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 418
Регистрация: 22.3.2012
Пользователь №: 428 351



Репутация:   18  


А почему нужно отказаться от TeamViewer и 3г ?

Предварительно получился такой вариант :
На компьютере две учётки : админа и пользователя. Под учёткой пользователя , в Свойствах браузера включён прокси и для порта 80 назначен адрес 127.0.0.1
В результате интернет не работает ни в одном браузере , антивирус обновляется , скайп работает , RDP и TeamViewer работают.
Пока не известно , как это будет работать с мобильным модемом. Может есть ещё какие ньюансы.

Сообщение отредактировал IDE7 - 31.7.2016, 18:52
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 31.7.2016, 18:54
Сообщение #4


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Так будет отключен только браузер, причём настраивать придётся почти все браузеры, ибо настройки MSIE использует только хром. Любые другие программы, которые захотят выйти в интернет (вирусы, трояны, тундербёрды, IRC-клиенты, Telegram, WebMoney, командная строка, что-то самописное, etc) - не увидят никаких проблем и воспользуются шлюзом. Если устроит блокировка только одного браузера - можно, конечно, воспользоваться этой полумерой.

От 3G/WiFi можно не отказываться, но тогда у соединения по WiFi и по проводу должен быть однаковый шлюз, и 3г-свисток тоже должен быть установлен на этом же шлюзе, например, в качестве резервного канала (роутеры, которые так умеют, стоят недёшево). Иначе придётся при каждом включении/отключении свистка переписывать маршруты на другой шлюз.

Как конкретно работает TeamViewer - я не подскажу, не разбирался, но есть основания полагать, что он общается с таким количеством серверов, что ты замучаешься делать для него дырки. Возможно, на их сайте можно найти информацию о том, с какими хостами ему нужно соединяться.

Можно по-другому заморочиться - поднять в сети прокси или SOCKS и настроить нужные программы для работы через этот прокси. Основной шлюз при этом нужно убрать. Но в этом случае будет проблематично заюзать RDP (если только через другой компьютер в этой же сети).

Можно ещё несколько вариантов придумать, но ни один из них не будет простым smile.gif.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Neznаyka
сообщение 1.8.2016, 22:25
Сообщение #5



Group Icon


Группа: Пользователи
Сообщений: 715
Регистрация: 8.6.2012
Пользователь №: 436 214



Репутация:   62  


Цитата(IDE7 @ 31.7.2016, 11:23) *

Такая задача :
нужно заблокировать на компьютере интернет , но оставить доступ для средств удалённого доступа : TeamViewer , RDP ,.. Так же оставить возможность обновления баз для антивирусной программы.
ОС - Windows 7 (8).
Интернет на компьютер может подаваться через WiFi , мобильный модем , кабель.

Желательны простые способы

Для этого достаточно воспользоваться встроенным файрволом (aka «Брандмауэр Windows», aka консольный Netsh).

Справочно: сохранить настройки файрвола можно командой
Код

netsh advfirewall export "c:\FirewallSettings.wfw"

при необходимости сохранённые в файле настройки восстанавливаются командой
Код

netsh advfirewall import "c:\FirewallSettings.wfw"

Если есть желание, можно посмотреть справку по Netsh – в православной консоли задача решается в несколько команд.
В графическом интерфейсе это делается так (на примере WIN7: Панель управления/ Брандмауэр Windows/ Дополнительные параметры):
– блокируюся исходящие подключения, не указанные в правилах
» Спойлер (нажмите, чтобы прочесть) «

(консольный аналог netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound)
– при необходимости в правила для исходящего подключения добавляем разрешающее правило для антивирусной программы, при необходимости отключаем разрешающие правила для нежелательных программ (например µTorrent)
– при необходимости в правилах для входящих подключений отключаем разрешающие правила для нежелательных программ.
Разрешающие правила для TeamViewer и RDP уже прописаны. Пользователь без административных прав не сможет отключить файрвол/изменить правила.

Вышеуказанное при должной сноровке займёт несколько минут.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 1.8.2016, 22:36
Сообщение #6


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Ага, только предварительно придётся KIS снести smile.gif.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Neznаyka
сообщение 2.8.2016, 15:33
Сообщение #7



Group Icon


Группа: Пользователи
Сообщений: 715
Регистрация: 8.6.2012
Пользователь №: 436 214



Репутация:   62  


Цитата(Jek @ 1.8.2016, 23:36) *

Ага, только предварительно придётся KIS снести

Возможно автор сообщил тебе, что используется именно KIS, но в теме об этом не cказано. Не пользуюсь этим продуктом, не подскажешь, есть ли возможность:
– настроить файрвол KIS таким образом, чтобы заблокировать доступ в инет
– отключить файрвол KIS, предоставив контроль встроенному.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 2.8.2016, 16:31
Сообщение #8


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Не заморачивался такими вопросами. Можно погуглить, если есть желание biggrin.gif. KIS при установке сразу вырубает встроенный фаервол. Что логично - у KIS-а возможностей фильтрации мягко говоря побольше. Скажем, если злобный троянчик захочет схитрить и воспользоваться для доступа в интернет какой-нибудь доверенной программой, ну скажем svchost.exe smile.gif - стандартный фаервол вряд ли сможет отказать, в отличие от KIS. Подозреваю, что KIS без проблем сможет забанить хоть весь интернет (на вскидку создать сеть 0.0.0.0/0 и запретить там все входящие/исходящие пакеты, а потом поорудовать в правилах для программ), но см. второй абзац. Да и отключать фаервол в KIS - значит превращать его в более дешёвый продукт того же Касперского. Смысл тогда переплачивать по 400+ руб. в год за лицензию?

Если точно известны все доверенные программы, то правильным решением, как показывает практика борьбы с бухгалтерами, будет не чёрный список, а белый. Шлюз напрочь удаляется, а нужные программы выпускаются за пределы локальной сети различными способами - хоть через прокси, хоть статическими маршрутами, хоть OSPF biggrin.gif. Чёрный список плох тем, что завтра девочка-бухгалтерша по совету знакомого принесёт флэшку с портабельным браузером (или ещё какой хренью) - и придётся латать очередную дырень. В результате рано или поздно возникнет острое желание перейти на светлую сторону smile.gif.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Neznаyka
сообщение 2.8.2016, 17:11
Сообщение #9



Group Icon


Группа: Пользователи
Сообщений: 715
Регистрация: 8.6.2012
Пользователь №: 436 214



Репутация:   62  


Цитата(Jek @ 2.8.2016, 17:31) *

Смысл тогда переплачивать по 400+ руб. в год за лицензию?

То есть автор таки пользуется именно KIS, да?
Цитата(Jek @ 2.8.2016, 17:31) *

Если точно известны все доверенные программы, то правильным решением, как показывает практика борьбы с бухгалтерами, будет не чёрный список, а белый

Скажу тебе по секрету, решение на основе встроенного файрвола в посте выше – это и есть белый список.
Цитата(Jek @ 2.8.2016, 17:31) *

у KIS-а возможностей фильтрации мягко говоря побольше. Скажем, если злобный троянчик захочет схитрить и воспользоваться для доступа в интернет какой-нибудь доверенной программой, ну скажем svchost.exe - стандартный фаервол вряд ли сможет отказать, в отличие от KIS

Звучит впечатляюще, но не мог бы ты привести конкретный пример, где проявляется вся мощь файрвола KIS (именно в части файрвола, а не антивируса), на фоне беспомощного встроенного.
Например, что может KIS и не может касп+встроенный файрвол.

Сообщение отредактировал Neznаyka - 2.8.2016, 17:19
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 2.8.2016, 17:28
Сообщение #10


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Цитата(Neznаyka @ 2.8.2016, 17:11) *
Скажу тебе по секрету, решение на основе встроенного файрвола в посте выше – это и есть белый список.

Какой же это белый список?

Цитата(Neznаyka @ 1.8.2016, 22:25) *
при необходимости отключаем разрешающие правила для нежелательных программ (например µTorrent)

В лучшем случае это костыль, а никак не белый список smile.gif.

Цитата(Neznаyka @ 2.8.2016, 17:11) *
Звучит впечатляюще, но не мог бы ты привести конкретный пример

Выше я привёл вполне конкретный пример с svchost.exe.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Neznаyka
сообщение 2.8.2016, 17:42
Сообщение #11



Group Icon


Группа: Пользователи
Сообщений: 715
Регистрация: 8.6.2012
Пользователь №: 436 214



Репутация:   62  


Цитата(Jek @ 2.8.2016, 18:28) *

Какой же это белый список?

Погугли, если есть желание:
Цитата(Neznаyka @ 1.8.2016, 23:25) *

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

Цитата(Jek @ 2.8.2016, 18:28) *

В лучшем случае это костыль, а никак не белый список

Все что не будет разрешено в правилах – запрещено.
Цитата(Jek @ 2.8.2016, 18:28) *

Выше я привёл вполне конкретный пример с svchost.exe

Если бы ты написал
Цитата

у встроенного файрвола возможностей фильтрации мягко говоря побольше. Скажем, если злобный троянчик захочет схитрить и воспользоваться для доступа в интернет какой-нибудь доверенной программой, ну скажем svchost.exe - KIS вряд ли сможет отказать, в отличие от встроенного

то тоже попросил бы продемонстрировать на конкретном примере.

Сообщение отредактировал Neznаyka - 2.8.2016, 17:42
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 2.8.2016, 17:56
Сообщение #12


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Цитата(Neznаyka @ 2.8.2016, 17:42) *
Все что не будет разрешено в правилах – запрещено.

Это значит, что есть крайне ограниченный набор разрешающих правил и одно единственное правило в самом конце (или в самом начале, в зависимости от модели), запрещающее всё. Ты же предлагаешь ещё какие-то запрещающие правила. Какой же это белый список? smile.gif

Пойми одну простую вещь. Ни один правильный системный администратор не будет решать задачу с помощью фаервола, если эту же задачу можно куда проще разрулить с помощью маршрутизации. Тем более, что решение с беспомощным виндовым фаерволом ну никак не панацея.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Neznаyka
сообщение 2.8.2016, 18:25
Сообщение #13



Group Icon


Группа: Пользователи
Сообщений: 715
Регистрация: 8.6.2012
Пользователь №: 436 214



Репутация:   62  


Цитата(Jek @ 2.8.2016, 18:56) *

Ты же предлагаешь ещё какие-то запрещающие правила. Какой же это белый список?

Не гуглил? Понятно. В действительности предлагалось отключить некоторые разрешающие правила на фоне запрета по дефолту, просто прочитай внимательнее пост выше.
Цитата(Jek @ 2.8.2016, 18:56) *

Пойми одну простую вещь. Ни один правильный системный администратор не будет решать задачу с помощью фаервола, если эту же задачу можно куда проще разрулить с помощью маршрутизации. Тем более, что решение с беспомощным виндовым фаерволом ну никак не панацея.

Не хочешь перетереть за настройку циски? biggrin.gif (риторический вопрос, если что)
Как мне кажется, автор не является квалифицированным админом, и спрашивал о простом и приемлемом решении.
Как известно, гланды можно удалить разными способами, в т.ч. через задний проход. Что кому проще – дело сугубо личных пристрастий и предпочтений biggrin.gif

Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 2.8.2016, 18:32
Сообщение #14


     
Group Icon


Группа: Супермодераторы
Сообщений: 14 664
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1746  


Цитата(Neznаyka @ 2.8.2016, 18:25) *
гланды можно удалить разными способами, в т.ч. через задний проход

Что ты и советуешь здесь.

Цитата(Neznаyka @ 2.8.2016, 18:25) *
Что кому проще – дело сугубо личных пристрастий и предпочтений

Тут дело не в пристрастиях, а в том, как правильно решить не слишком типовую задачу. Можно хоть весь гугл исчитать, но если у тебя нет опыта - ты вряд ли решишь её оптимально. И я по-моему в первом своём сообщении здесь на это очень толсто намекнул.

Можешь продолжать biggrin.gif.

Изображение
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
IDE7
сообщение 14.6.2017, 23:16
Сообщение #15


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 418
Регистрация: 22.3.2012
Пользователь №: 428 351



Репутация:   18  


В общем отпишусь о результатах. Была использована эта : Технология + рекомендация руководителя по использованию компьютера , которую следует выполнять в любом случае.

Там ситуация такая : продавец с компьютером , на котором формируются результаты торговли. Руководитель иногда заходит удалённо , чтобы посмотреть. При этом продавцу не нужно выходить в интернет для выполнения своей работы. Поэтому блокировка браузера достаточно проста.

Технологии , которые были предложены - слишком сложны для реализации и поддержки , в данном случае.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 18.7.2019, 5:37
Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов