Teamviewer, AnyDesk - запретить, но не всем
-
Добрый.
@lucas1
https://mediarealm.com.au/articles/block-teamviewer-network/
https://support.anydesk.com/FirewallПопробуйте разрешать на fw ТОЛЬКО стандартные порты (TCP\80, TCP\443) и\или те порты, к-ые вам реально необходимы (можно создать алиас(ы) с ними). Все остальное будет закрыто по умолч.
Заворачиваете все dns (и ntp) запросы на адрес пф, создаете алиасы с ip\именами машин в вашей сети, пользуете правила fw с этими алиасами.
-
Не так просто.
Например по TeamViewer.The TeamViewer IP Address Range is 178.77.120.0/24 - это не так.
pl-waw-anx-r008.teamviewer.com
Address: 217.146.13.139И мне не надо полностью закрывать ‘teamviewer.com’.
И все осложняется вот этим:
TeamViewer connects on port 5938, but also tunnels via ports 80 (HTTP) & 443 (SSL) if that is unavailable. -
@lucas1
Здр
Вариантов решения я вижу 2- Фильтрация DNS запросов на этапе установления соединения
- Использование доп софта ( в свое время мне пришлось написать свою программу, которая анализирует днс ответы , заносит ip из этих ответов в таблицы PF , а дальше я мог уже составлять свои правила на основе этих таблиц)
https://www.teamviewer.com/ru/%D1%86%D0%B5%D0%BD%D1%82%D1%80-%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C%D1%8E/%D1%87%D0%B0%D1%81%D1%82%D0%BE-%D0%B7%D0%B0%D0%B4%D0%B0%D0%B2%D0%B0%D0%B5%D0%BC%D1%8B%D0%B5-%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D1%8B/
Мы работаем со следующими поставщиками центров обработки данных:
Amazon Web Services
Alibaba Cloud
Anexia Internetdienstleistungs- GmbH
IBM Cloud Deutschland
Microsoft Deutschland GmbH
Plusserver GmbH
Cloudflare, Inc.Можете ли вы предоставить список IP-адресов, которые использует TeamViewer?
IP-адреса TeamViewer не находятся в одной подсети и могут меняться в любое время, поэтому нет готового списка. Вам достаточно внести адрес *.teamviewer.com в белый список или открыть порт 5938 на брандмауэре. -
Фильтрация DNS запросов на этапе установления соединения.
Немного подробнее - какими средствами? -
@lucas1
Нарисуйте , плиз , схему , как ходят ДНС запросы
и каким клиентам планируется дать/ограничить доступ ?Есть понимание , как это реализовать , но для этого нужно знать, как все организовано
-
Добрый.
@lucas1 said in Teamviewer, AnyDesk - запретить, но не всем:Фильтрация DNS запросов на этапе установления соединения.
Немного подробнее - какими средствами?- Заворачиваете все dns (и ntp) запросы на адрес пф, создаете алиасы с ip\именами машин в вашей сети.
- Средствами DNS Resolver (он же unbound). Уверен, что в нем можно выборочно отдельным IP выдавать что-то типа *.teamviewer.com = 0.0.0.0 Прописывается это в Адвансед настройках DNS Resolver. Погуглите.
-
Вообщем остановился на том, что запретил всем .teamviewer.com и .anydesk.com.
Схема обычная local DNS Server - PFBlocker DNSBL - DNS Resolver - root zone.
Запретить всем, разрешить администраторам. -
-
Заворачиваете все dns запросы на адрес пф с помощью port forwrd на ЛАН.
-
https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/7
https://mitky.com/pfblockerng-pfsense-filter-specific-clients-computers-network/
server: access-control-view: 192.168.10.200/32 dnsbl access-control-view: 192.168.10.0/24 bypass view: name: "dnsbl" view-first: yes local-zone: "anydesk.com" always_nxdomain local-zone: "teamviewer.com" always_nxdomain view: name: "bypass" view-first: yesИ перезапустить службу.
Зы. Спасибо за поднятую тему. Наконец-то интересная задача.
-
-
Прописал так для проверки на одном IP для AnyDesk (разрешить) :
server:
access-control-view: 192.168.X.Y/32 bypass
access-control-view: 192.168.0.0/24 dnsbl
view:
name: "bypass"
view-first: yes
view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*confБлокирует всех.
перезапускал DNS Resolver.bypass - без PfBlocker, а Dnsbl - с PfBlocker?
-
@lucas1
А не - вроде все нормально. -
Нет, ненормально.
Сначала AnyDesk разрешил для одного IP. Остальные не подключались.
Прошло некоторое время и этот один IP тоже перестал подключаться.
Добавил второй IP в bypass - он сразу не подключался. -
@lucas1
Здр
Написал в личку -
@lucas1
Днс-кеш на клиенте сбрасывали? Делайте так всегда перед проверкой. -
@werter
Резюмирую.Этот способ подходит для небольших офисов, не имеющих домен Windows.
Т.е. действительно если DNS сервером на каждом компьютере является PfSense - то фильтрация по bypass и dnsbl проходит.Но если есть Windows Domain со своим локальным DNS сервером, то все dns запросы идут от локального DNS сервера то никакой фильтрации не будет.
-
Но если есть Windows Domain со своим локальным DNS сервером.. никакой фильтрации не будет
Это не так, если на пф принудительно завернуты все ДНС-запросы, идущие вовне.
По такой схеме даже не требуется указывать явно ip пф-а как ДНС в сетевых настройках.
Делается это простым port forwrd на ЛАН пф-а.Зы. По такой же схеме работает пфблокер, если кто не в курсе.
-
@werter
Что конкретно нужно сделать на PfSense,
чтобы "на пф принудительно завернуты все ДНС-запросы, идущие вовне". -
@lucas1 said in Teamviewer, AnyDesk - запретить, но не всем:
Что конкретно нужно сделать на PfSense,
чтобы "на пф принудительно завернуты все ДНС-запросы, идущие вовне".Читаем внимательно
https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html
-
@blackWolf
Прочитал. Внимательно.
Только как это поможет разделить Sourse IP для запросов к DNS Fesolver от DNS сервера в локальной сети?
server:
access-control-view: 192.168.10.0/24 bypass
access-control-view: 192.168.20.0/24 dnsblВ этом примере показано разделение по Source IP по сетям.
В нашей локальной сети и так все завернуто на PfSense по DNS и без этого правила NAT."Теперь любой DNS-запрос к любому внешнему IP-адресу приведет к тому, что брандмауэр ответит на запрос" - зачем это?
