Teamviewer, AnyDesk - запретить, но не всем
-
Фильтрация DNS запросов на этапе установления соединения.
Немного подробнее - какими средствами? -
@lucas1
Нарисуйте , плиз , схему , как ходят ДНС запросы
и каким клиентам планируется дать/ограничить доступ ?Есть понимание , как это реализовать , но для этого нужно знать, как все организовано
-
Добрый.
@lucas1 said in Teamviewer, AnyDesk - запретить, но не всем:Фильтрация DNS запросов на этапе установления соединения.
Немного подробнее - какими средствами?- Заворачиваете все dns (и ntp) запросы на адрес пф, создаете алиасы с ip\именами машин в вашей сети.
- Средствами DNS Resolver (он же unbound). Уверен, что в нем можно выборочно отдельным IP выдавать что-то типа *.teamviewer.com = 0.0.0.0 Прописывается это в Адвансед настройках DNS Resolver. Погуглите.
-
Вообщем остановился на том, что запретил всем .teamviewer.com и .anydesk.com.
Схема обычная local DNS Server - PFBlocker DNSBL - DNS Resolver - root zone.
Запретить всем, разрешить администраторам. -
-
Заворачиваете все dns запросы на адрес пф с помощью port forwrd на ЛАН.
-
https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips/7
https://mitky.com/pfblockerng-pfsense-filter-specific-clients-computers-network/
server: access-control-view: 192.168.10.200/32 dnsbl access-control-view: 192.168.10.0/24 bypass view: name: "dnsbl" view-first: yes local-zone: "anydesk.com" always_nxdomain local-zone: "teamviewer.com" always_nxdomain view: name: "bypass" view-first: yesИ перезапустить службу.
Зы. Спасибо за поднятую тему. Наконец-то интересная задача.
-
-
Прописал так для проверки на одном IP для AnyDesk (разрешить) :
server:
access-control-view: 192.168.X.Y/32 bypass
access-control-view: 192.168.0.0/24 dnsbl
view:
name: "bypass"
view-first: yes
view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*confБлокирует всех.
перезапускал DNS Resolver.bypass - без PfBlocker, а Dnsbl - с PfBlocker?
-
@lucas1
А не - вроде все нормально. -
Нет, ненормально.
Сначала AnyDesk разрешил для одного IP. Остальные не подключались.
Прошло некоторое время и этот один IP тоже перестал подключаться.
Добавил второй IP в bypass - он сразу не подключался. -
@lucas1
Здр
Написал в личку -
@lucas1
Днс-кеш на клиенте сбрасывали? Делайте так всегда перед проверкой. -
@werter
Резюмирую.Этот способ подходит для небольших офисов, не имеющих домен Windows.
Т.е. действительно если DNS сервером на каждом компьютере является PfSense - то фильтрация по bypass и dnsbl проходит.Но если есть Windows Domain со своим локальным DNS сервером, то все dns запросы идут от локального DNS сервера то никакой фильтрации не будет.
-
Но если есть Windows Domain со своим локальным DNS сервером.. никакой фильтрации не будет
Это не так, если на пф принудительно завернуты все ДНС-запросы, идущие вовне.
По такой схеме даже не требуется указывать явно ip пф-а как ДНС в сетевых настройках.
Делается это простым port forwrd на ЛАН пф-а.Зы. По такой же схеме работает пфблокер, если кто не в курсе.
-
@werter
Что конкретно нужно сделать на PfSense,
чтобы "на пф принудительно завернуты все ДНС-запросы, идущие вовне". -
@lucas1 said in Teamviewer, AnyDesk - запретить, но не всем:
Что конкретно нужно сделать на PfSense,
чтобы "на пф принудительно завернуты все ДНС-запросы, идущие вовне".Читаем внимательно
https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html
-
@blackWolf
Прочитал. Внимательно.
Только как это поможет разделить Sourse IP для запросов к DNS Fesolver от DNS сервера в локальной сети?
server:
access-control-view: 192.168.10.0/24 bypass
access-control-view: 192.168.20.0/24 dnsblВ этом примере показано разделение по Source IP по сетям.
В нашей локальной сети и так все завернуто на PfSense по DNS и без этого правила NAT."Теперь любой DNS-запрос к любому внешнему IP-адресу приведет к тому, что брандмауэр ответит на запрос" - зачем это?
