Russian Users MikroTik | Форум пользователей MikroTik

Помогите пожалуйста решить такую проблему.
Есть Mikrotik RB1100AHx2.
Нужно, чтобы из локальной сети TEAMVIEWR не мог работать.
Как сейчас сделано. В Static DNS добавлены зоны teamviewer.com, www.teamviewer.com, *.teamviewer.com.
Все вышеозанченные домены закольцованны на 127.0.0.1 но это не помогает.

Блокируем порты 5938,9997 (их программа использует изначально), если закрыты - использует 80-тый порт и блокируем следующие IP адреса серверов Teamviewer:

216.108.224.222
80.237.220.185
85.214.154.223
85.214.78.0-85.214.78.254
77.41.13.0-77.41.13.254
80.237.157.95
85.25.143.0/24
217.23.49.0-217.23.49.24
87.230.74.0-87.230.74.254
87.230.73.0-87.230.73.254
89.185.96.0-89.185.96.254
91.121.4.0-91.121.4.254
91.121.28.0-91.121.28.254
93.186.48.0-93.186.48.254
178.75.246.0-178.75.246.254
178.77.120.0-178.77.120.254
85.25.147.0-85.25.147.254
62.75.215.0-62.75.215.254
62.75.246.0-62.75.246.254
69.64.74.0-69.64.74.254
89.189.96.0-89.189.96.245
77.223.130.0/24
81.169.168.0/24
85.214.222.0/24
87.230.70.0/24
46.165.192.220-46.165.192.228
95.221.37.197


После этого программа не может установить связь с сервером. Сервера актуальны Пн июл 09, 2012 00:09 , проверенны на 4,5,6, и 7 версии программы.

M1chA писал(а):Помогите пожалуйста решить такую проблему.
Есть Mikrotik RB1100AHx2.
Нужно, чтобы из локальной сети TEAMVIEWR не мог работать.
Как сейчас сделано. В Static DNS добавлены зоны teamviewer.com, http://www.teamviewer.com, *.teamviewer.com.
Все вышеозанченные домены закольцованны на 127.0.0.1 но это не помогает.

Тут есть тонкий момент - какой адрес ДНС сервера использует комп, на котором запускается клиент TEAMVIEWR.
Это может быть не адрес микротика и тогда ваши правила не сработают.
Однозначным будет вариант, если на самом компе поправить %windir%\system32\drivers\etc\hosts

Vladimir22
Не помогло...

vviz
ДНС сервер у меня на Windows 2008 находится,вместе с ролью АД.
А микротик естественно отдельно висит.

Не помогла правка hosts? Не может такого быть...
На компе, где запускаете вьювер в файле hosts прописали
127.0.0.1 www.teamviewer.com
и можете зайти браузером на http://www.teamviewer.com?

А прокси случаем не используете?

Я hosts не правил. У меня парк из 150 компов. Большинство в домене,но большой процент под линем и ноутбками(win 7 home и т.п.). По всем бегать и править файлы.... Не хочется.
Прокси не использую.

M1chA писал(а):ДНС сервер у меня на Windows 2008 находится

а у этого сервака кто является DNS сервером?

веду к тому, что нужно, чтобы все dns запросы проходили через Микротик, только так получиться...

Что пробовал я сам, и что работало а что нет:

набрал из разных архивов несколько версий тивьюверов, вплоть до самой новой...
в итоге:
* блокировка TW-портов не помогает, так как новые версии TW при закрытых его родных портах начинают использовать 80/443 - которые лочить мне не с руки, или ставить на них фильтрацию L7 с отсевом не_HTTP/S трафика, еще наклАднее...
* блокировки диапазонов IP не вариант, с каждой версией (ну не с каждой, но близко ) появляются новые IP
* в итоге получилось залочить (по крайней мере попыток 50 сделал всего и все безрезультатны для всех версий TW) запрещающим правилом по порту DNS; т.е. не помню сейчас точно, но вроде просто прописал в графе Content = teamviewer

Но... опять же, в сети DNS сервером был именно этот Микротик.

а какая разница DNS микротика или отдельно стоящий?

vqd писал(а):а какая разница DNS микротика или отдельно стоящий?

я ловил по портам DNS в INPUT.... а сколько у него серверов не имеют смысла, главная фраза, чтобы кто-то из них через МТ "проходил"

а вдруг у его сервера DNS инет идет через другую коробочку, соответственно запросы от его DNS сервака на_ружу не будут проходить через фильтрацию МТ...
да тут в общем просто я расписал как ловиться, а как хозяин сети завернет свой трафик, его личное дело, ну или дело стандартов организации ))

Для реализации данной затеи достаточно что бы микрот был пограничным но при этом совершенно не обязательно что бы он являлся DNS