забанить диапазон адресов по маске

eternal2000 · December 7, 2007, 8:29pm

как мне забанить диапазон адресов по маске.
мне нужно чтоб конкретный софт не соединялся с ip этих диапазонов:
87.224.128.1 - 87.224.255.254
90.157.0.1 - 90.157.127.254
так вот, я не знаю как это лучше сделать, да и вообще как это правильно сделать.

eternal2000 · December 7, 2007, 8:31pm

да, вот, и еще как мне потом сделать в этом правиле исключения?

ikulibin · December 7, 2007, 9:12pm

какая версия программы?

в тройке это можно сделать так…
Firewall → My Blocked Network Zones → Add → A new Blocked Adress → An IP Adress Mask

упс… не до конца дочитал… так ты забанишь эти IP совсем…

Но по аналогии создай диапазоны в
Firewall → My Network Zones

и в правилах приложений подставляй в соответствующее место…

Хотя почему бы их не забанить совсем ?

MaratR · December 8, 2007, 8:18am

В Firewall - Common Tasks - My Network Zones создаешь зону (Add - A New Network Zone), называешь, например, “Запрещенные IP”. В нее добавляешь (Add - A New Address) адреса, которые нужно блокировать:

A range of IP addressess : 87.224.128.1 - 87.224.255.254

Еще раз Add - A New Address:

A range of IP addressess : 90.157.0.1 - 90.157.127.254

Это просто зона. Сама по себе ничего не делает. Теперь нужно создать конкретные правила.

Идешь в Firewall - Advanced - Network Security Policy - Application Rules, и для конкретного софта добавляешь правила:

Правило 1.

Action: Block
Protocol: IP
Direction: In

Source Address: Zone: “Запрещенные IP”
Destination Address: Any
IP Protocol: Any

Это запретит софту принимать входящие соединения с указанных адресов.

Правило 2.

Action: Block
Protocol: IP
Direction: Out

Source Address: Any
Destination Address: Zone: “Запрещенные IP”
IP Protocol: Any

Это запретит софту создавать исходящие соединения на указанные адреса.

Правила в списке обрабатываются сверху вниз, и срабатывает первое же подходящее. Поэтому эти два правила нужно поставить в списке перед теми, что в нем уже есть. Таким образом, соединения с указанными IP для этого конкретного софта будут запрещены, а соединения на все остальные IP будут обрабатываться так же, как и раньше.

С исключениями несколько сложнее. Задать исключение прямо в параметрах зоны “Запрещенные IP” не получится (там логика туповата). Поэтому придется в Apllication Rules для этого софта создавать отдельное правило (или несколько), в котором специально для адреса, исключаемого из блокируемой зоны, нужно будет продублировать все то, что можно всем остальным соединениям. Например, если для этого софта изначально были разрешены исходящие TCP-соединения на 80 порт, то нужно создать:

Правило 1 (просто пример)

Action: Allow
Protocol: TCP
Direction: Out

Source Address: Any
Destination Address: 87.224.128.5 (то самое исключение)
Source Port: Any
Destination Port: 80

Это правило-исключение нужно поставить в списке первым, до тех двух блокирующих правил, что были созданы ранее.

Могу расписать все подробно для твоей конкретной ситуации, если скинешь скриншот исходных правил для этого софта.

eternal2000 · December 8, 2007, 8:41am

спасибо большое.
такой еще вопрос, я создал для него правило, которое блокирует входящее соединение, для этой зоны, а для того чтобы он со всех остальных принимал, мне надо после этого правила создать

Action: Allow
Protocol: TCP
Direction: In

Source Address: Any
Destination Address: Any
Source Port: Any
Destination Port: Any

??

eternal2000 · December 8, 2007, 8:50am

да и еще один вопос: почему блокировать надо по ip а исключения создавать по tcp,

P.S. мне надо чтоб BitTorrent не качал с этих ip

MaratR · December 8, 2007, 10:00am

“спасибо большое. такой еще вопрос, я создал для него правило, которое блокирует входящее соединение, для этой зоны, а для того чтобы он со всех остальных принимал, мне надо после этого правила создать”

Вообще говоря - да, если это уже не разрешено существующими правилами. В принципе, можно особо не парясь разрешить все соединения для всех остальных IP:

Action: Allow
Protocol: TCP/UDP (вроде торренту кроме этих протоколов ничего не надо)
Direction: In/Out

Source Address: Any
Destination Address: Any
Source Port: Any
Destination Port: Any

“да и еще один вопос: почему блокировать надо по ip а исключения создавать по tcp,”

Ну, “протокол IP” в Comodo подразумевает и TCP, и UDP, и ICMP, и все остальное (хотя вообще-то это немного разные вещи). Особой разницы тут не будет - укажешь ты “IP” или “TCP/UDP”, поскольку торрент все равно только по TCP и UDP работает. Мне лично удобнее при блокировке чего-нибудь сразу ставить “IP”, если, конечно, не нужно закрыть какой-то конкретный протокол.

Сами же правила-исключения должны дублировать те разрешения, которые установлены для всех “нормальных” IP. Если в твоем случае для всех “нормальных” IP разрешены все входящие/исходящие соединения TCP/UDP, то и правила-исключения должны иметь подобный вид:

Action: Allow
Protocol: TCP/UDP
Direction: In

Source Address: 87.224.128.5
Destination Address: Any
Source Port: Any
Destination Port: Any

Разрешает все входящие соединения с адреса 87.224.128.5

–

Action: Allow
Protocol: TCP/UDP
Direction: Out

Source Address: Any
Destination Address: 87.224.128.5
Source Port: Any
Destination Port: Any

Разрешает все исходящие соединения на адрес 87.224.128.5

В итоге список правил в Application Rules для твоего torrent-приложения примет такой вид:

Правило 1 (исключение из запрещенной зоны для входящих соединений):

Action: Allow
Protocol: TCP/UDP
Direction: In

Source Address: 87.224.128.5
Destination Address: Any
Source Port: Any
Destination Port: Any

Правило 2 (исключение из запрещенной зоны для исходящих соединений):

Action: Allow
Protocol: TCP/UDP
Direction: Out

Source Address: Any
Destination Address: 87.224.128.5
Source Port: Any
Destination Port: Any

Правило 3 (запрещенная зона для входящих соединений):

Action: Block
Protocol: TCP/UDP
Direction: In

Source Address: Zone: “Запрещенные IP”
Destination Address: Any
IP Protocol: Any

Правило 4 (запрещенная зона для исходящих соединений):

Action: Block
Protocol: TCP/UDP
Direction: Out

Source Address: Any
Destination Address: Zone: “Запрещенные IP”
IP Protocol: Any

Правило 5 (разрешение для всех “нормальных” IP):

Action: Allow
Protocol: TCP/UDP
Direction: In/Out

Source Address: Any
Destination Address: Any
Source Port: Any
Destination Port: Any

Не знаю, что у тебя в списке Global Rules, но не будет лишним добавить в его начало явное разрешение входящих соединений на тот порт, который задан в настройках BitTorrent’а:

Правило 1:

Action: Allow
Protocol: TCP/UDP
Direction: In

Source Address: Any
Destination Address: Any
Source Port: Any
Destination Port: указать порт из настроек BitTorrent’а

Должно работать.

MaratR · December 8, 2007, 10:08am

Вдогонку…

А можно создать еще одну зону, назвать ее “Исключения”, добавить в нее все те адреса из запрещенных диапазонов, которым доступ все-таки можно разрешить (87.224.128.5 в нашем случае) и Правила 1 и 2 записать в виде:

Правило 1 (исключение из запрещенной зоны для входящих соединений):

Action: Allow
Protocol: TCP/UDP
Direction: In

Source Address: Zone: “Исключения”
Destination Address: Any
Source Port: Any
Destination Port: Any

Правило 2 (исключение из запрещенной зоны для исходящих соединений):

Action: Allow
Protocol: TCP/UDP
Direction: Out

Source Address: Any
Destination Address: Zone: “Исключения”
Source Port: Any
Destination Port: Any

Тогда в тех случаях, когда нужно будет открыть доступ к очередному заблокированному IP, достаточно будет просто внести его в зону “Исключения”, а в правилах менять уже ничего не придется.

eternal2000 · December 8, 2007, 11:25am

еще раз большое спасибо за помощь и подробныя разъяснения ответов на мои вопросы)))
:■■■■