Блокировка отдельных IP c помощью политики безопасности
Блокировка отдельных IP c помощью политики безопасности
С развитием интернета и сетевых сервисов все более актуальна задача отсеивания ненужных ресурсов. Это могут быть рекламные сайты, различные сервисы для проверки активации всякого коммерческого софта, да и просто сайты, по какой-либо причине нежелательные для посещения. Обычно такая блокировка обеспечивается на уровне браузеров (баннерорезки), системных служб (AdMuncher, Proxomitron, HtFilter), прописыванием перенаправлений в файле hosts, а также разграничением доступа в правилах фаервола. При всем этом многообразии способов ограничения доступа в сеть, иногда встречается софт, аффтары которого однозначно больны варезом головного мозга. Некоторые пытаются проверять свою регистрацию через браузер, другие сканируют файл hosts на предмет наличия в нем записей о своих доменах, а совсем конченные уроды докатились даже до проверки установленных фаерволов и требуют их отключения. Для подобных клинических случаев можно использовать блокировку отдельных IP c помощью настроек политики IP-безопасности Windows.
Открываем меню "Пуск", выбираем "Панель управления" - "Администрирование" - "Локальная политика безопасности". Там нас интересует пункт "Политика IP-безопасности".
Локальная политика безопасности
Правый клик на пустом списке, в контекстном меню выбираем пункт "Создать политику IP-безопасности...". Откроется окно "Мастера политики IP-безопасности".
Мастер политики IP-безопасности
Для удобства сразу укажите название и описание фильтра, чтобы в дальнейшем не запутаться. В следующих экранах и до конца оставляйте значения по умолчанию, ничего менять не надо. В конце работы Мастера откроется окно свойств политики. Активируйте политику, поставив соответствующую галочку.
Свойства политики IP-безопасности
Теперь добавляем сами фильтры отдельных IP-адресов. Для этого в окне свойств нажмите кнопку "Добавить". Откроется окно "Мастера создания новых правил IP-безопасности". В настройках "Конечная точка туннеля" оставьте значение по умолчанию "Это правило не определяет туннель", в "Тип сети" также оставьте значение по умолчанию "Все сетевые подключения" и на следующем шаге вы доберетесь до окна "Список IP-фильтров".
Список IP-фильтров
Нажмите кнопку "Добавить", откроется окно со списком фильтров. Пока там пусто, поэтому заполните имя и описание фильтра и нажмите кнопку "Добавить". Запустится очередной Мастер, на этот раз "Мастер IP-фильтров". На первом экране настроек заполните название фильтра, желательно указывать блокируемый сайт, флажок "Отраженный" оставьте по умолчанию, в следующем окне "Источник IP-трафика" в выпадающем меню выберите пункт "Мой IP-адрес", далее в окне "Назначение IP-трафика" выберите пункт "Определенный IP-адрес или подсеть", активируется поле ввода IP-адреса. Введите IP-адрес, доступ к которому должен быть закрыт. В следующем окне тип протокола - "Любой". Все, первое правило создано. Аналогично добавляются и другие адреса. Для примера я возьму адреса двух рекламных говносайтов.
Настройка фильтров
Когда все адреса IP будут занесены в список фильтра, закройте окно списка кнопкой "Ok", вы вернетесь в окно "Список IP-фильтров". Теперь там есть наш фильтр:
Добавленный IP-фильтр
Осталось определить действие фильтра, в нашем случае нужна блокировка. Выберите фильтр в списке, нажмите "Далее". Откроется окно "Действие фильтра".
Действия фильтра
Нажмите кнопку "Добавить", запустится "Мастер настройки действий фильтра IP-безопасности". Тут все просто. Имя и описание можете не заполнять, или заполните по желанию, а в "Общих параметрах действия фильтра" на следующем экране настроек отметьте пункт "Блокировать". В списке правил появилась новая строчка, это и есть наша блокировка:
Свойства политики IP-безопасности
Остался последний шаг. Надо применить созданную политику IP-безопасности. Для этого в контекстном меню выберите пункт "Назначить". Все, теперь выбранные IP-адреса недоступны.
Активация политики IP-безопасности
Несмотря на то, что вы можете создать несколько разных политик IP-безопасности, вы не можете назначить одновременно более одной политики. Но зато в рамках одной политики можете создавать сколько угодно фильтров для различных случаев, и активировать их по мере надобности установкой или снятием соответствующего флажка в списке.
Остался последний немаловажный вопрос. Каким образом можно узнать IP-адрес, если какая-нибудь программа обращается к доменному имени? Все очень просто. В консоли Windows есть команда tracert. Если указать в качестве параметра доменное имя, то она отрезолвит его IP:
Получение IP-адреса командой tracert
Похожий результат у другой консольной команды nslookup:
Получение IP-адреса командой nslookup
Также, если у вас установлен фаервол, то обычно он показывает IP-адрес, по которому идет обращение.
Да, такой способ блокировки не самый быстрый в настройке и не самый удобный. Зато он всегда работает, независимо от наличия фаервола в системе. Что еще немаловажно, политика блокировки действует для всех программ. Если вы, например, заблокировали рекламные сайты через политику IP-безопасности, то не увидите рекламы во всех браузерах, а не только там, где установлена баннерорезка. Еще большой плюс в том, что для блокировки доступа к отдельным ресурсам не вносятся изменения в системные файлы, и даже самые ушлые аффтары коммерческого говнософта окажутся в пролете со своими проверками.
Просмотров: 41344 | Комментариев: 29
Метки: сеть, безопасность
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
Vladimir
(11.10.2017 в 08:22):
у виндов обнаружена ещё проблема при использовании hosts - если он становится большим то сеть становится раком, т.е. и первоначальная загрузка тоже может навернуться. вообще.
попробуй подставить от какого либо списка рекламных сайтов hosts в виндовс и если он больше 100-200кб, например в 2-3 Мб - будешь неприятно удивлен.
похоже tcp стек в ms c нт3.5 не меняли, крыли совсем голимые проблемы с бсд4.4 стека и всё.
попробуй подставить от какого либо списка рекламных сайтов hosts в виндовс и если он больше 100-200кб, например в 2-3 Мб - будешь неприятно удивлен.
похоже tcp стек в ms c нт3.5 не меняли, крыли совсем голимые проблемы с бсд4.4 стека и всё.
Андрей
(31.08.2016 в 03:33):
Цитата:
Владимир (26.05.2016 в 16:06):
Спасибо. Очень познавательно. Есть вопрос: как-нибудь можно назначить интервал с 192.185.52.0 по 192.185.52.255, а то по одному долго очень?
Я полностью поддерживаю этот вопрос, какой же ответ ?
Владимир (26.05.2016 в 16:06):
Спасибо. Очень познавательно. Есть вопрос: как-нибудь можно назначить интервал с 192.185.52.0 по 192.185.52.255, а то по одному долго очень?
Я полностью поддерживаю этот вопрос, какой же ответ ?
Владимир
(26.05.2016 в 16:06):
Спасибо. Очень познавательно. Есть вопрос: как-нибудь можно назначить интервал с 192.185.52.0 по 192.185.52.255, а то по одному долго очень?
ManHunter
(26.06.2014 в 11:38):
Работает? Работает. "ping" набирать на пару букв короче, вот и вся разница.
Йазь
(26.06.2014 в 11:35):
так ведь pingом всегда резолвили ip. использовать для этого продвинутый пинг - tracert- О_о
n.d.
(03.01.2014 в 20:00):
> аффтары которого однозначно больны варезом головного мозга
Эта болезнь называется копирастия.
Эта болезнь называется копирастия.
миха
(03.08.2013 в 22:37):
ну незнаю, по мне проще и удобнее редактировать файл "C:\Windows\System32\drivers\etc\hosts" и утилита для этого есть "HostsMan" называется. давно пользаюсь.
SirKo
(06.08.2012 в 15:42):
Через netsh не работает точно, команда ipsec в ХР отсутствует. Из других ОС netsh брать не пробовал, да и пришлось-бы скорее всего лепить конструктор с dll-ными потрохами.
Хотя способ экспорта в результате оказался чудовищно простым!
Пункт "Экспортировать политики..." в подменю "Все задачи" из меню "Действие" появляется только тогда, когда курсор фокусируется на имени "Политики безопасности IP на Локальный компьютер" в корне консоли!
Вот так хитро в ХР это закопано!
Хотя правильно было-бы сделать его статичным и де/активировать при необходимости.
ЗЫ: Файл "*.ipsec" в моём случае завесил 61440 байт
Хотя способ экспорта в результате оказался чудовищно простым!
Пункт "Экспортировать политики..." в подменю "Все задачи" из меню "Действие" появляется только тогда, когда курсор фокусируется на имени "Политики безопасности IP на Локальный компьютер" в корне консоли!
Вот так хитро в ХР это закопано!
Хотя правильно было-бы сделать его статичным и де/активировать при необходимости.
ЗЫ: Файл "*.ipsec" в моём случае завесил 61440 байт
ManHunter
(03.08.2012 в 08:57):
SirKo, а через реестр или netsh не работает? В камментах же описан способ.
SirKo
(03.08.2012 в 08:56):
Данная схема работает на ХР, занимаясь "отстрелом" назойливых "Админ"истраторов RDP.
Список фильтров забаненых сетей за пару лет вырос довольно солидно, около сотни диапазонов.
Ищу способы его экспортирования, но пока положительного результата не встретил!
Может кто подскажет способ автоматизированного экспорта фильтров, реально работающий на ХР?
ManHunter, немного не понял "ВИ ВСЕ НУБИ...", это что-то типа:
"Вы все ......, а я д'Артаньян"? :)))
Список фильтров забаненых сетей за пару лет вырос довольно солидно, около сотни диапазонов.
Ищу способы его экспортирования, но пока положительного результата не встретил!
Может кто подскажет способ автоматизированного экспорта фильтров, реально работающий на ХР?
ManHunter, немного не понял "ВИ ВСЕ НУБИ...", это что-то типа:
"Вы все ......, а я д'Артаньян"? :)))
ManHunter
(27.07.2012 в 17:46):
Вот она, вся суть задрота одной строкой.
НОГЕБАТАР
(27.07.2012 в 17:44):
ВИ ВСЕ НУБИ Я ГЛАД ПВП ГО ЗАССАЛИ
PolDol
(02.04.2012 в 09:53):
Спс за конкретную инструкцию. Помогло в такой ситуевине. Рыболовное судно. По судну - локалка по каютам. Кино, музыка и т.п. просто расшарены, сервера нет. Вай Фая тоже нет, все по витой паре. У многих челов ноут(нет)буки, но не у всех в каютах подключение. Одна редиска анонимно подключается у друзей (в разных каютах) к локалке и в наглую смотрит кино (не качая себе) с других компов. К его же компу доступ вообще закрыт. На намеки в виде кратковременного отключения не реагирует. Теперь забанен и хрен он с меня чего поимеет. Файрвол скачать в океане нет никакой возможности - помог только этот материал. Еще раз СПАСИБО!!!
Compiller
(18.11.2011 в 16:20):
Sorry :-(
franken
(18.11.2011 в 10:32):
"ManHunter (15.11.2011 в 11:07):
Я бы сидел молча и тихонько всех ненавидел."
вот так и работаю :)
Я бы сидел молча и тихонько всех ненавидел."
вот так и работаю :)
ManHunter
(17.11.2011 в 13:56):
Compiller, камменты не читай, скорее буковки набирай! :)
Compiller
(17.11.2011 в 13:55):
Отследили бы куда оно в реестр эти политики сунет - и сделали бы ghfdbkf в виде набора reg файлов.
Спасибо.
Спасибо.
ManHunter
(15.11.2011 в 11:07):
Я бы сидел молча и тихонько всех ненавидел.
Never
(15.11.2011 в 11:05):
Ндя... как жаль конечно, что ты всего лишь програмист, а не системный администратор... Интересно, что же ты описывал бы, если бы был вторым )))
ManHunter
(14.11.2011 в 10:51):
Ага, а потом тебе говнософт заявит: я нашел у тебя в памяти запущенный антивирус и фаервол, и будь-ка ты любезен сперва их выгрузить из памяти, чтобы я мог проверить свою краденую регистрацию у себя на сервере. И это реальный софт, не какая-то студенческая поделка, а вполне себе серьезный проект.
Никто ж не говорит, что только так и надо давить баннеры, но есть ситуации, когда может пригодиться именно такой вариант, и знать его будет не лишним.
Никто ж не говорит, что только так и надо давить баннеры, но есть ситуации, когда может пригодиться именно такой вариант, и знать его будет не лишним.
semenov
(14.11.2011 в 09:43):
Да ну нафик, это как вшей в бараке руками давить
Антибаннер в антивирусе или фаерволе с автообновляемыми базами определяет
Антибаннер в антивирусе или фаерволе с автообновляемыми базами определяет
liz
(11.11.2011 в 13:01):
Спасибо! Пригодится.
Поражённый
(10.11.2011 в 09:47):
Вот это тема мля!
Я в шоке и радости!
Спасибо огромное.
Я в шоке и радости!
Спасибо огромное.
ManHunter
(09.11.2011 в 21:30):
Для импорта политик набираешь в консольке:
netsh ipsec static exportpolicy file=saved
Все выгрузится в файл "saved.ipsec". Для восстановления обратно набираешь там же в консольке:
netsh ipsec static importpolicy file=saved.ipsec
А хранится все это дело в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\
Может быть можно и через реестр перетаскивать, я не пробовал.
netsh ipsec static exportpolicy file=saved
Все выгрузится в файл "saved.ipsec". Для восстановления обратно набираешь там же в консольке:
netsh ipsec static importpolicy file=saved.ipsec
А хранится все это дело в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\
Может быть можно и через реестр перетаскивать, я не пробовал.
Ursa
(09.11.2011 в 21:07):
А это как то можно через рег файл занести ? Или это ложится на винт в какомто формате ?
ManHunter
(09.11.2011 в 19:19):
Я не пользуюсь софтом, который надо так жестоко блокировать :) Часть блокирую на роутере, часть на фаерволе.
myr4ik07
(09.11.2011 в 19:17):
Обнаглею и попрошу вас импортировать ваш список политик для дальнейшего использования мной :)
VOVKA
(09.11.2011 в 17:37):
"даже самые ушлые аффтары коммерческого говнософта окажутся в пролете со своими проверками"
Так им)))
Так им)))
Добавить комментарий
Заполните форму для добавления комментария
route -p add 123.123.123.123 0.0.0.0
Я так фаерволы блокирую, чтобы на свои сайты не лазили.