Блокировка teamviewer

Тема в разделе "Общие вопросы", создана пользователем valera, 21 окт 2015.

  1. valera

    valera Новый участник

    как полностью заблокировать teamviewer
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Через L7 фильтр, как вариант.
     
  3. man_street

    man_street Новый участник

    мне помогли такие правила
    Код:
    /ip firewall layer7-protocol
    add name=team regexp="^(post|get) /d(out|in).aspx\\\?.*client=dyngate"
    add name=team1 regexp="^\\x17"
    /ip firewall filter
    add action=reject chain=forward comment=TeamViewer layer7-protocol=team
    add action=reject chain=forward comment=TeamViewer layer7-protocol=team1
    add action=drop chain=forward comment=TeamViewer dst-port=5938 protocol=tcp
    add action=drop chain=forward comment=TeamViewer dst-port=5938 protocol=udp
     
  4. zgd

    zgd Новый участник

    правила работают. Но с исключениями трабл.
    Создаю address-list, для которого должен быть открыт доступ к TW, но они тоже блочатся. Не подскажете, где копать?
     
  5. Покажите ваше правило
     
  6. zgd

    zgd Новый участник

    17 X ;;; teamviewer block chain=forward action=drop layer7-protocol=teamviewer src-address-list=!soc log=no log-prefix=""
    18 X chain=forward action=drop layer7-protocol=teamviewer1 src-address-list=!soc log=no log-prefix="team stop"
    19 X chain=forward action=drop layer7-protocol=ammyy log=no log-prefix=""
    20 X chain=forward action=drop protocol=tcp src-address-list=!soc dst-port=5938 log=no log-prefix=""
    21 X chain=forward action=drop protocol=tcp src-address-list=!soc dst-port=5939 log=no log-prefix=""
    22 X chain=forward action=drop protocol=udp src-address-list=!soc dst-port=5938 log=no log-prefix=""
    23 X chain=forward action=drop protocol=udp src-address-list=!soc dst-port=5939 log=no log-prefix=""

    В адрес листе soc содержатся ip разрешенных машин.
    Правила в настоящий момент погашены
     
  7. Для конкретного IP работает блокировка ?
     
  8. zgd

    zgd Новый участник

    Да. Ели ставлю в правиле какой-либо один адрес, то блочит только его, остальные ходят.
    Как только ставлю блок для всей сети за исключением листа "soc", блочится всё.
     
  9. как задаете адрес лист ?
     
  10. zgd

    zgd Новый участник

    0 soc 192.168.5.214 aug/30/2017 12:21:40
    1 soc 192.168.5.215 aug/30/2017 12:24:08
     
  11. ну какой-то у вас "глюк" с работой с адрес листами, попробуйте создать другой какой-нить, добавить сначала один адрес, затем другой... Проверяя. Затем попробуйте исключить их. Обновитесь до последней версии RouterOS
     
  12. zgd

    zgd Новый участник

    Спасибо, Денис.
    Попробую.
     
  13. Sergo43

    Sergo43 Новый участник

    Странно, но не работают правила

    /ip firewall layer7-protocol
    add name=team regexp="^(post|get) /d(out|in).aspx\\\?.*client=dyngate"
    add name=team1 regexp="^\\x17"
    /ip firewall filter
    add action=reject chain=forward comment=TeamViewer layer7-protocol=team
    add action=reject chain=forward comment=TeamViewer layer7-protocol=team1
    add action=drop chain=forward comment=TeamViewer dst-port=5938 protocol=tcp
    add action=drop chain=forward comment=TeamViewer dst-port=5938 protocol=udp

    Как еще можно заблокировать?
     
  14. alexei1977

    alexei1977 Участник

    Через DNS, пропишите в static teamviewer.com - 127.0.0.1, на клиентах должен быть прописан dns mikrotikа
     
  15. pentagrammer

    pentagrammer Новый участник

    необязательно, можно завернуть все обращения к 53 порту на себя в правилах фаервола