Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Блокировка приложений — на примере Fortnite, UniFi Network
 
#1
21.08.2018 17:24:00
Мне нужна помощь в том, как заблокировать Fortnite или похожие сайты с изменяющимися IP-адресами и доменными именами, когда нельзя просто заблокировать порты 80 и 443, кроме как для конкретных адресатов. Цель — заблокировать именно одно приложение, а не весь CDN-провайдер. Поскольку Fortnite — популярное приложение, я решил взять его в качестве примера для запроса рекомендаций, чтобы либо гарантировать доступ, либо заблокировать его. Итак, как заблокировать доступ к Fortnite?
 
 
 
#2
16.11.2018 15:27:00
И да, DNS был бы самым простым вариантом, но он уже сказал выше, что это не то решение, которое ему нужно.
 
 
 
#3
16.11.2018 15:24:00
Я бы никогда не строил домашнюю сеть таким образом, и любой, кто это предлагает, либо А. совсем не имеет других дел и постоянно ковыряется с портами при выходе новых игр, либо Б. не имеет детей, и его идея игры — «Сапёр».
 
 
 
#4
16.11.2018 15:20:00
Это определённо риск, который берёшь на себя при блокировке портов. Но есть такой подход: считаешь, что лучший способ обеспечить безопасность шлюза — отключить всё и открывать только то, что действительно нужно. Обычно я именно так и действую, и это однозначно надёжнее. Если речь идёт только о блокировке FQDN, то, на мой взгляд, лучшее решение — настроить статические DNS-записи или маршруты, которые отправляют трафик в никуда. Например, назначить для *.epicgames.com DNS-запись 127.0.0.1 — тогда этот трафик никогда не покинет устройство.
 
 
 
#5
16.11.2018 15:10:00
Любое приложение может использовать эти порты, это не ограничивается только Fortnite. Так что ты потенциально можешь блокировать другие сервисы или программы, которые используют этот диапазон портов.
 
 
 
#6
16.11.2018 14:54:00
Я имел в виду поставить устройства ваших детей в отдельную сеть и заблокировать порты для этих IP-адресов. Быстрый поиск в гугле показывает, что если заблокировать порты с 9000 по 9100, то это должно заблокировать саму игру. Порт 5222 тоже, судя по всему, используется клиентом.  
Правка: похоже, разные версии и платформы используют разные порты, но всё равно можно заблокировать нужные порты на соответствующих устройствах без особых проблем.  
Правка 2: только что понял, что перепутал твои сообщения с сообщением другого пользователя. Можешь ли ты настроить статические DNS-маршруты, чтобы весь трафик к *.epicgames.com направлять в никуда?
 
 
 
#7
16.11.2018 14:37:00
Fortnite — это облачный сервис. Эти IP-адреса постоянно меняются, так как серверы то выключаются, то включаются.
 
 
 
#8
16.11.2018 14:34:00
Почему бы просто не сделать резервирование DHCP для устройств детей и не поставить ограничения на эти IP-адреса? К тому же, я не разбирался с настройками DNS в USG, но нельзя ли использовать подстановочные знаки в списках доменов, чтобы не прописывать каждый поддомен epicgames? Просто заблокировать *.epicgames.com?
 
 
 
#9
16.11.2018 13:00:00
Думаю, если вы не хотите заставлять свою сеть использовать DNS USG, можно написать небольшой скрипт, который будет опрашивать эти FQDN через dnsmasq и запускать его примерно раз в 15 дней.
 
 
 
#10
16.11.2018 12:58:00
Если принудительно задать в вашей сети использовать usg в качестве DNS, можно применить dnsmasq для заполнения этого блока. Синтаксис примерно такой: "set service dns forwarding options ipset=/fort.nite/epicgames.com/keep.going/with.all/games.blocked/blocklist".
 
 
 
#11
16.11.2018 12:52:00
ОБНОВЛЕНИЕ — Пока что это сработало и не сработало. Поскольку разработчики игры пытаются обойти нашу защиту, чтобы пользователям было проще получить игру и играть, ситуация постоянно меняется. Блокируя IP-адреса, я в итоге заблокировал часть сервисов Amazon Cloud. Затем я обновил разрешения URL и пересмотрел правило с новыми IP-адресами. Это утомительный процесс и, честно говоря, раздражающий... Если бы только Unifi мог разрешать DNS для Access Control Entries прямо в своих списках контроля доступа с периодической очисткой кэша и обновлением, как другие производители.

В целом блокировка портов помогает, но пользователи, у которых уже установлен софт, смогут в основном играть, хотя игровой процесс будет сильно затруднён или соединение не установится вовсе.
 
 
 
Страницы: 1
Читают тему (гостей: 1)