none
Маршрутизация и удаленный доступ - блокировка сайтов стандартными средствами Windows Server 2008r2 RRS feed

  • Вопрос

  • Здравствуйте, есть ли способ для диапазона адресов заблокировать список сайтов или все сайты кроме одного без стороннего софта? Я пытался 80 и 443 запретить в фаерволе, и разрешить их только на один адрес, но на разрешенный тоже не пускает, а где то стоит касперский вместо ваервола. Так что с фаерволом не очень бы хотелось связываться

Ответы

  • у Вас в качестве маршрутизатора для доступа в Интернет используется Windows Server ?
    Если нет, то смотрите настройки своего маршрутизатора.
    Если да, то запетите все IP адреса, кроме нужного. Т.е. нужный адрес не должен входить в список запрещённых.

    Модератор
  • Здравствуйте, есть ли способ для диапазона адресов заблокировать список сайтов или все сайты кроме одного без стороннего софта? Я пытался 80 и 443 запретить в фаерволе, и разрешить их только на один адрес, но на разрешенный тоже не пускает, а где то стоит касперский вместо ваервола. Так что с фаерволом не очень бы хотелось связываться

    В Маршрутизации и удалённом доступе (RRAS) правила для конкретных адресов и протоколов описывают исключения из общей политики ("всё разрешить, кроме" или "всё блокировать, кроме"). Поэтому под вашу задачу подойдёт только политика "всё разрешить, кроме" с правилами, блокирующими все соединения на порты 80/443 для адресов, куда подключения нежелательны. Для блокирования списка адресов решение очевидно, а для блокирования всех подключений, кроме как на указанные адреса, нужно создать правила, включающие в себя все адреса, кроме указанных. Т.к. в правилах RRAS диапазоны адресов определяются только как целые подсети а не промежутки между произвольными адресами, то конструкция для правил со списком разрешённых адресов получается слишком громоздкой.

    Например, для разрешения одного адреса, скажем, 131.12.17.41 потребуется блокировать подсети (в формате адрес/маска)

    0.0.0.0/128.0.0
    128.0.0.0/254.0.0.0 
    130.0.0.0/255.0.0.0 
    131.0.0.0/255.248.0.0 
    131.8.0.0/255.252.0.0
    131.12.0.0/255.255.240.0
    131.12.16.0/255.255.255.0
    131.12.17.0/255.255.255.224
    131.12.17.32/255.255.255.248
    131.12.17.40/255.255.255.255
    131.12.17.42/255.255.255.254
    131.12.17.44/255.255.255.252
    131.12.17.48/255.255.255.240
    131.12.17.64/255.255.255.192
    131.12.17.128/255.255.255.128
    131.12.18.0/255.255.254.0
    131.12.20.0/255.255.252.0
    131.12.24.0/255.255.248.0
    131.12.32.0/255.255.224.0
    131.12.64.0/255.255.192.0
    131.12.128.0/255.255.128.0
    131.13.0.0/255.255.0.0
    131.14.0.0/255.254.0.0
    131.16.0.0/255.240.0.0
    131.32.0.0/255.224.0.0
    131.64.0.0/255.192.0.0
    131.128.0.0/255.128.0.0
    132.0.0.0/252.0.0.0
    136.0.0.0/248.0.0.0
    144.0.0.0/240.0.0.0
    160.0.0.0/224.0.0.0
    192.0.0.0/192.0.0.0
    

    А при добавлении в список другого адреса придётся аналогичным образом заменить правило для подсети, в которую он входит на список правил, чтобы исключить этот адрес.

    Короче, вариант со списком разрешённых адресов - крайне непрактичен.


    Слава России!


  • Спасибо за ответ, а подскажите пожалуйста где найти эти правила в RRAS

    В консоли RRAS в узле IPv4\General в свойствах интерфейса. Там есть две кнопки - Input Filters и Output Filters (фильтры в RRAS - односторонние).

    Рекомендую настраивать входные фильтры на внутреннем интерфейсе (только лучше это делать не по RDP, а с консоли, чтобы не потерять связь в случае ошибки).


    Слава России!

  • Я в фаерволе запретил все исходящее с 80 и 443 для всех. И разрешил с тех же портов со всех машин на адрес одного нужного сайта
    повторяю:
    то запетите все IP адреса, кроме нужного.
    как это сделать описано в таблице:

    Например, для разрешения одного адреса, скажем, 131.12.17.41 потребуется блокировать подсети (в формате адрес/маска)

    0.0.0.0/128.0.0
    128.0.0.0/254.0.0.0 
    130.0.0.0/255.0.0.0 
    131.0.0.0/255.248.0.0 
    131.8.0.0/255.252.0.0
    131.12.0.0/255.255.240.0
    131.12.16.0/255.255.255.0
    131.12.17.0/255.255.255.224
    131.12.17.32/255.255.255.248
    131.12.17.40/255.255.255.255
    131.12.17.42/255.255.255.254
    131.12.17.44/255.255.255.252
    131.12.17.48/255.255.255.240
    131.12.17.64/255.255.255.192
    131.12.17.128/255.255.255.128
    131.12.18.0/255.255.254.0
    131.12.20.0/255.255.252.0
    131.12.24.0/255.255.248.0
    131.12.32.0/255.255.224.0
    131.12.64.0/255.255.192.0
    131.12.128.0/255.255.128.0
    131.13.0.0/255.255.0.0
    131.14.0.0/255.254.0.0
    131.16.0.0/255.240.0.0
    131.32.0.0/255.224.0.0
    131.64.0.0/255.192.0.0
    131.128.0.0/255.128.0.0
    132.0.0.0/252.0.0.0
    136.0.0.0/248.0.0.0
    144.0.0.0/240.0.0.0
    160.0.0.0/224.0.0.0
    192.0.0.0/192.0.0.0

    Модератор

Все ответы

  • Ваш вопрос решает прокси сервер который когда то у МС был но проэкт свернули. Из бесплатных продуктов на сегодня самым распространенным является squid, а среди платных продуктов єто умеют в том числе и многие антивирусы. Вполне вероятно что такая функция есть в вашем каспере (на сайте поддержки которого вам могут помочь функцию настроить).

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • у Вас в качестве маршрутизатора для доступа в Интернет используется Windows Server ?
    Если нет, то смотрите настройки своего маршрутизатора.
    Если да, то запетите все IP адреса, кроме нужного. Т.е. нужный адрес не должен входить в список запрещённых.

    Модератор
  • Здравствуйте, есть ли способ для диапазона адресов заблокировать список сайтов или все сайты кроме одного без стороннего софта? Я пытался 80 и 443 запретить в фаерволе, и разрешить их только на один адрес, но на разрешенный тоже не пускает, а где то стоит касперский вместо ваервола. Так что с фаерволом не очень бы хотелось связываться

    В Маршрутизации и удалённом доступе (RRAS) правила для конкретных адресов и протоколов описывают исключения из общей политики ("всё разрешить, кроме" или "всё блокировать, кроме"). Поэтому под вашу задачу подойдёт только политика "всё разрешить, кроме" с правилами, блокирующими все соединения на порты 80/443 для адресов, куда подключения нежелательны. Для блокирования списка адресов решение очевидно, а для блокирования всех подключений, кроме как на указанные адреса, нужно создать правила, включающие в себя все адреса, кроме указанных. Т.к. в правилах RRAS диапазоны адресов определяются только как целые подсети а не промежутки между произвольными адресами, то конструкция для правил со списком разрешённых адресов получается слишком громоздкой.

    Например, для разрешения одного адреса, скажем, 131.12.17.41 потребуется блокировать подсети (в формате адрес/маска)

    0.0.0.0/128.0.0
    128.0.0.0/254.0.0.0 
    130.0.0.0/255.0.0.0 
    131.0.0.0/255.248.0.0 
    131.8.0.0/255.252.0.0
    131.12.0.0/255.255.240.0
    131.12.16.0/255.255.255.0
    131.12.17.0/255.255.255.224
    131.12.17.32/255.255.255.248
    131.12.17.40/255.255.255.255
    131.12.17.42/255.255.255.254
    131.12.17.44/255.255.255.252
    131.12.17.48/255.255.255.240
    131.12.17.64/255.255.255.192
    131.12.17.128/255.255.255.128
    131.12.18.0/255.255.254.0
    131.12.20.0/255.255.252.0
    131.12.24.0/255.255.248.0
    131.12.32.0/255.255.224.0
    131.12.64.0/255.255.192.0
    131.12.128.0/255.255.128.0
    131.13.0.0/255.255.0.0
    131.14.0.0/255.254.0.0
    131.16.0.0/255.240.0.0
    131.32.0.0/255.224.0.0
    131.64.0.0/255.192.0.0
    131.128.0.0/255.128.0.0
    132.0.0.0/252.0.0.0
    136.0.0.0/248.0.0.0
    144.0.0.0/240.0.0.0
    160.0.0.0/224.0.0.0
    192.0.0.0/192.0.0.0
    

    А при добавлении в список другого адреса придётся аналогичным образом заменить правило для подсети, в которую он входит на список правил, чтобы исключить этот адрес.

    Короче, вариант со списком разрешённых адресов - крайне непрактичен.


    Слава России!


  • Спасибо за ответ, а подскажите пожалуйста где найти эти правила в RRAS
  • Я в фаерволе запретил все исходящее с 80 и 443 для всех. И разрешил с тех же портов со всех машин на адрес одного нужного сайта. Почему-то не сработало, не работают все сайты, включая нужный. 
  • Я в фаерволе запретил все исходящее с 80 и 443 для всех. И разрешил с тех же портов со всех машин на адрес одного нужного сайта
    повторяю:
    то запетите все IP адреса, кроме нужного.
    как это сделать описано в таблице:

    Например, для разрешения одного адреса, скажем, 131.12.17.41 потребуется блокировать подсети (в формате адрес/маска)

    0.0.0.0/128.0.0
    128.0.0.0/254.0.0.0 
    130.0.0.0/255.0.0.0 
    131.0.0.0/255.248.0.0 
    131.8.0.0/255.252.0.0
    131.12.0.0/255.255.240.0
    131.12.16.0/255.255.255.0
    131.12.17.0/255.255.255.224
    131.12.17.32/255.255.255.248
    131.12.17.40/255.255.255.255
    131.12.17.42/255.255.255.254
    131.12.17.44/255.255.255.252
    131.12.17.48/255.255.255.240
    131.12.17.64/255.255.255.192
    131.12.17.128/255.255.255.128
    131.12.18.0/255.255.254.0
    131.12.20.0/255.255.252.0
    131.12.24.0/255.255.248.0
    131.12.32.0/255.255.224.0
    131.12.64.0/255.255.192.0
    131.12.128.0/255.255.128.0
    131.13.0.0/255.255.0.0
    131.14.0.0/255.254.0.0
    131.16.0.0/255.240.0.0
    131.32.0.0/255.224.0.0
    131.64.0.0/255.192.0.0
    131.128.0.0/255.128.0.0
    132.0.0.0/252.0.0.0
    136.0.0.0/248.0.0.0
    144.0.0.0/240.0.0.0
    160.0.0.0/224.0.0.0
    192.0.0.0/192.0.0.0

    Модератор
  • Спасибо за ответ, а подскажите пожалуйста где найти эти правила в RRAS

    В консоли RRAS в узле IPv4\General в свойствах интерфейса. Там есть две кнопки - Input Filters и Output Filters (фильтры в RRAS - односторонние).

    Рекомендую настраивать входные фильтры на внутреннем интерфейсе (только лучше это делать не по RDP, а с консоли, чтобы не потерять связь в случае ошибки).


    Слава России!