Блокировка отдельных IP c помощью политики безопасности

С развитием интернета и сетевых сервисов все более актуальна задача отсеивания ненужных ресурсов. Это могут быть рекламные сайты, различные сервисы для проверки активации всякого коммерческого софта, да и просто сайты, по какой-либо причине нежелательные для посещения. Обычно такая блокировка обеспечивается на уровне браузеров (баннерорезки), системных служб (AdMuncher, Proxomitron, HtFilter), прописыванием перенаправлений в файле hosts, а также разграничением доступа в правилах фаервола. При всем этом многообразии способов ограничения доступа в сеть, иногда встречается софт, аффтары которого однозначно больны варезом головного мозга. Некоторые пытаются проверять свою регистрацию через браузер, другие сканируют файл hosts на предмет наличия в нем записей о своих доменах, а совсем конченные уроды докатились даже до проверки установленных фаерволов и требуют их отключения. Для подобных клинических случаев можно использовать блокировку отдельных IP c помощью настроек политики IP-безопасности Windows.

Открываем меню "Пуск", выбираем "Панель управления" - "Администрирование" - "Локальная политика безопасности". Там нас интересует пункт "Политика IP-безопасности".


Правый клик на пустом списке, в контекстном меню выбираем пункт "Создать политику IP-безопасности...". Откроется окно "Мастера политики IP-безопасности".


Для удобства сразу укажите название и описание фильтра, чтобы в дальнейшем не запутаться. В следующих экранах и до конца оставляйте значения по умолчанию, ничего менять не надо. В конце работы Мастера откроется окно свойств политики. Активируйте политику, поставив соответствующую галочку.


Теперь добавляем сами фильтры отдельных IP-адресов. Для этого в окне свойств нажмите кнопку "Добавить". Откроется окно "Мастера создания новых правил IP-безопасности". В настройках "Конечная точка туннеля" оставьте значение по умолчанию "Это правило не определяет туннель", в "Тип сети" также оставьте значение по умолчанию "Все сетевые подключения" и на следующем шаге вы доберетесь до окна "Список IP-фильтров".


Нажмите кнопку "Добавить", откроется окно со списком фильтров. Пока там пусто, поэтому заполните имя и описание фильтра и нажмите кнопку "Добавить". Запустится очередной Мастер, на этот раз "Мастер IP-фильтров". На первом экране настроек заполните название фильтра, желательно указывать блокируемый сайт, флажок "Отраженный" оставьте по умолчанию, в следующем окне "Источник IP-трафика" в выпадающем меню выберите пункт "Мой IP-адрес", далее в окне "Назначение IP-трафика" выберите пункт "Определенный IP-адрес или подсеть", активируется поле ввода IP-адреса. Введите IP-адрес, доступ к которому должен быть закрыт. В следующем окне тип протокола - "Любой". Все, первое правило создано. Аналогично добавляются и другие адреса. Для примера я возьму адреса двух рекламных говносайтов.


Когда все адреса IP будут занесены в список фильтра, закройте окно списка кнопкой "Ok", вы вернетесь в окно "Список IP-фильтров". Теперь там есть наш фильтр:


Осталось определить действие фильтра, в нашем случае нужна блокировка. Выберите фильтр в списке, нажмите "Далее". Откроется окно "Действие фильтра".


Нажмите кнопку "Добавить", запустится "Мастер настройки действий фильтра IP-безопасности". Тут все просто. Имя и описание можете не заполнять, или заполните по желанию, а в "Общих параметрах действия фильтра" на следующем экране настроек отметьте пункт "Блокировать". В списке правил появилась новая строчка, это и есть наша блокировка:


Остался последний шаг. Надо применить созданную политику IP-безопасности. Для этого в контекстном меню выберите пункт "Назначить". Все, теперь выбранные IP-адреса недоступны.


Несмотря на то, что вы можете создать несколько разных политик IP-безопасности, вы не можете назначить одновременно более одной политики. Но зато в рамках одной политики можете создавать сколько угодно фильтров для различных случаев, и активировать их по мере надобности установкой или снятием соответствующего флажка в списке.

Остался последний немаловажный вопрос. Каким образом можно узнать IP-адрес, если какая-нибудь программа обращается к доменному имени? Все очень просто. В консоли Windows есть команда tracert. Если указать в качестве параметра доменное имя, то она отрезолвит его IP:


Похожий результат у другой консольной команды nslookup:


Также, если у вас установлен фаервол, то обычно он показывает IP-адрес, по которому идет обращение.

Да, такой способ блокировки не самый быстрый в настройке и не самый удобный. Зато он всегда работает, независимо от наличия фаервола в системе. Что еще немаловажно, политика блокировки действует для всех программ. Если вы, например, заблокировали рекламные сайты через политику IP-безопасности, то не увидите рекламы во всех браузерах, а не только там, где установлена баннерорезка. Еще большой плюс в том, что для блокировки доступа к отдельным ресурсам не вносятся изменения в системные файлы, и даже самые ушлые аффтары коммерческого говнософта окажутся в пролете со своими проверками.

Комментарии

Добавить комментарий

Имя*:

Текст комментария (не более 2000 символов)*:

Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п. будут удаляться. Злостным нарушителям доступ к сайту может быть заблокирован.