Firewall a Teamviewer

nemsl

Zdravim, mam ve FW ve filtru 6 pravidel, které když jsou povolené, tak teamviewer nedostane id, což je super.

Dostane ID a heslo, v případě že ty pravidla zakážu.

Jenže...

Chtěl bych to vždy povolit určité ip po dobu jedné hodiny..

Takže...

Vytvořil jsem v addreslistu seznam pojmenovaný povoleno-tv, který je dynamický s timeoutem 1h.

A teď...

Když dam v pravidlu scr. address list již zmíněný seznam povoleno-tv s vykřičníčkem, tak mi TV nepřidělí id a heslo, přidělí až ve chvíli, kdy ty pravidla opět zakážu..

Ví někdo proč mi to nešlape?

ifivecz

Je-li ten TeamViewer "povolen" na tu hodinu jenom pro třeba 5 IP adres, aplikace, docela pravděpodobně, nemá přístup na jejich servery.

Pokud by mělo dojít k přiřazení ID atd., bude nutné povolit přístup i pro ony servery. TeamViewer funguje tak, že vzdálená plocha jde přes servery kdesi v Praze (možná jinde) ke klientovi.

nemsl

Mam za to, že když nejsou splněny všechny podmínky v pravidlu, tak se prostě pro tu ip neaplikuje, jenže to vypadá jakože to na to kašle..

Jak funguje TV vím.

nemsl

/ip firewall filter
add action=drop chain=forward comment="TV funk\E8n\ED blok" layer7-protocol=teamviewer log=yes log-prefix=tv src-address-list=!povoleni-tv
add action=drop chain=forward comment="TV funk\E8n\ED blok" layer7-protocol=teamviewer1 src-address-list=!povoleni-tv
add action=drop chain=forward comment="3 TV BLOK" dst-port=5938 protocol=tcp src-address-list=!povoleni-tv
add action=drop chain=forward comment="4 TV BLOK" dst-port=5939 protocol=tcp src-address-list=!povoleni-tv
add action=drop chain=forward comment="5 TV BLOK" dst-port=5938 protocol=udp src-address-list=!povoleni-tv
add action=drop chain=forward comment="6 TV BLOK" dst-port=5939 protocol=udp src-address-list=!povoleni-tv

/ip firewall layer7-protocol
add name=ammyy regexp=^.*rl.ammyy.com.*
add name=teamviewer regexp="^(post|get) /d(out|in).aspx\\\?.*client=dyngate"
add name=teamviewer1 regexp="^\\\\x17"

v address listu je pod povoleni-tv vždy jednotlivá IP

nemsl

Nějaká funkční rada za 1.000,- :-)

pedro4444

zdravim
otvaram debatu potrebujem na jednom stroji povolit len teamviewer a ked davam port podla navodu 5938 tcp a udp tak stale nejde az kym nepovolim 443 tcp... ale to si tym povolim aj internet..
skusal som dat len cielove ip teamviewer.com a nepomoze vyzera ze to pouziva aj ine cielove...

nemate niekto riesenie ako povolit len teamviewer?

justme

Pro omezení 443 použij omezení na IPs dle PTR: *.teamviewer.com. Doporučuji přidat i port 80 s omezením na jejich IPs, jelikož často to někde kravluje a skočí to na 80, i když říkají, že to je až last option

pedro4444

justme addrr list mi bere len teamviewer.com s *. mi to nezoberie ale ono to tam aj tka prida len jednu ip z toho dns..
pokial mam povolene porty 80,443 na vsetky ip tak to ide ale ako nahle tam pridem ze len na teamviewer.com tka uz to presne ist cize to musi pouzivat aj nejake ine ip alebo to nespravne zadavam?

diki

justme

Obávám se, že to zadáváš správně, ale bez hvězdičky to nepůjde :/ Asi bych to řešil nějakou proxy, pokud jde o bezpečnost sítě.

pedro4444

proxy kvoli tomu zbytocne nechcem robit..
nemate niekto vazne v mikrotiku poriesenie ako zakazat vsetko a aby siel len teamviewer?
alebo aj naopak ide len o to ako vyticit teamviewer aby som si s nim uz mohol robit co treba..

ekrajnak

Address list typu *.teamviewer.com uz z principu fungovat nemoze (zone walk maju predpokladam porieseny).

Treba odsniffovat DNS poziadavky, ktore robi TeamViewer pri spusteni. A vsetky tieto domenove nazvy nahodit do address listu.

ludvik

Já to tedy neměl potřebu někdy zkoušet - ale nebylo by lepší řešení použít TLS-host? Než pořád hlídat IP v address listu ...

ekrajnak

TLS host? Akože robiť L7 classifier a hľadať v Client Hello pakete extension server_name?

ludvik

TLS host je v MK firewallu jako samostatná option ... Jak to dělají netuším.

piti_sk

TLS Host matcher doesn't work with TLS1.3+.
cize je to uz dost nefukncne...