Доброе время суток !
Знакомый попросил у них на работе, секретарше прикрыть инет, но что бы работали определенные сайты. Было бы просто, если бы надо было закрыть определенные сайты, а инет был бы открыт, но надо наоборот. Старался найти решение в нете, по советам спецов поставил Comodo Firewall, вроде бы настроил (полный чайник в этом деле), по советам создал в сетевых зонах доверенную, туда добавил например IP от youtube.com, инет не пахал, сайт тубы работал, но без какого либо контента. Нет картинок, ссылки на видео не работают. Собственно вопрос, как прикрыть полностью инет на локальном компе, только что бы работали определенные сайты. Заранее спасибо за подробные советы.
P.S. Совсем забыл, вдруг важно. ОС Win7 Home, браузер Chrome.
Добавить в самый верх глобальных правил такое правило: “разрешить и логировать исходящие TCP где порт назначения в наборе портов ‘порты HTTP’”.
Открыть все нужные сайты, “полазить” по ним.
Исследовать журнал файрвола на предмет IP-адресов всех этих сайтов. На каждом из них может быть множество ссылок на другие ресурсы, скажем, те же картинки на youtube лежат на самом деле на ytimg.com.
Выбрать действительно нужные адреса. (Здесь нужно будет учесть, что реверсивный DNS может давать другие доменные имена).
Создать в “сетевых зонах” зону “придумайте название”, внести в неё все нужные адреса и/или диапазоны адресов.
Убрать правило из п.1.
Добавить глобальное правило “запретить все исходящие IP”. Оно должно быть самым верхним из запрещающих.
Добавить глобальное правило “разрешить исходящие IP если адрес назначения в сетевой зоне [как Вы её назвали в п.5]”. Если Вы хотите ограничиться только работой через браузер и только по HTTP, то сделайте другое правило, “разрешить исходящие TCP если адрес назначения в сетевой зоне [как Вы её назвали в п.5] и порт назначения в наборе портов HTTP”. Это правило должно быть выше запрещающего правила из п.7.
Кроме того нужно будет создать ещё несколько разрешающих правил, как минимум для DNS. Точно можно будет их составить, если уточните, как Вы подключены к интернету, есть ли локальная сеть и т.д.
создать сетевую зону, перечислить в ней необходимые диапазоны адресов.
создать предопределенную политику:
2а. разрешающую исходящие TCP в созданную сетевую зону на HTTP порты
2б. запрещающую входящие и исходящие из/в НЕ созданной сетевой зоны, порты любые.
применить эту политику к рабочему браузеру.
Основная проблема в том, что Комод до сих пор криво работает с доменными именами (youtube.com, google.com etc., указанные в сетевой зоне, - не прокатят) , а также в том, что на разрешенных адресах(сайтах) могут быть ссылки совсем в другие места, к-рые, естественно, будут резаться. А функции “разрешить сайт N, а также ссылки на ресурсы с этого сайта” у Комода нет.
ntoskrnl
Создание глобальных правил вызовет проблему как минимум системных обновлений.
