172
правки
Блокировка интернета при проведении ВсОШ в Москве: различия между версиями
Материал из IT в школе
Перейти к навигацииПерейти к поиску
Блокировка интернета при проведении ВсОШ в Москве (просмотреть исходный код)
Версия 10:28, 10 октября 2024
, 10 октябрьДобавлены порты для NTP и Veyon
Dkirienko (обсуждение | вклад) |
Dkirienko (обсуждение | вклад) (Добавлены порты для NTP и Veyon) |
||
| Строка 1: | Строка 1: | ||
| Строка 18: | Строка 19: | ||
* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений. | * Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений. | ||
* DNS-протокол: TCP и UDP, порт 53. | * DNS-протокол: TCP и UDP, порт 53. | ||
*NTP-протокол: UDP порт 123. | |||
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping. | * ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping. | ||
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления им. | * Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления им. | ||
| Строка 126: | Строка 128: | ||
ct state established,related accept | ct state established,related accept | ||
# Принимаем пакеты на 22 порт | # Принимаем пакеты на 22 порт TCP для управления компьютером по ssh | ||
tcp dport 22 accept | tcp dport 22 accept | ||
# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon | |||
tcp dport 11100 accept | |||
tcp dport 11200 accept | |||
tcp dport 11300 accept | |||
tcp dport 11400 accept | |||
# Принимаем входящий ping | # Принимаем входящий ping | ||
| Строка 143: | Строка 151: | ||
# Разрешаем все установленные соединения | # Разрешаем все установленные соединения | ||
ct state established,related accept | ct state established,related accept | ||
# Разрешаем соединения на порт 53 для работы DNS | # Разрешаем соединения на порт 53 для работы DNS | ||
tcp dport 53 accept | tcp dport 53 accept | ||
udp dport 53 accept | udp dport 53 accept | ||
# Разрешаем соединения на UDP порт 123 для работы NTP | |||
udp dport 123 accept | |||
# Разрешаем соединения на этот же компьютер (lo-интерфейс) | # Разрешаем соединения на этот же компьютер (lo-интерфейс) | ||
| Строка 152: | Строка 164: | ||
# Далее идёт белый список сайтов, к которым должен быть открыт доступ | # Далее идёт белый список сайтов, к которым должен быть открыт доступ | ||
# Вся локальная сеть 10.*.*.* | # Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком | ||
ip daddr 10.0.0.0/8 accept | ip daddr 10.0.0.0/8 accept | ||
| Строка 236: | Строка 248: | ||
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound TCP" -Direction Outbound -Action Allow -Protocol TCP -RemotePort 53 | New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound TCP" -Direction Outbound -Action Allow -Protocol TCP -RemotePort 53 | ||
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53 | New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53 | ||
# Открываем порт 123 UDP для работы NTP | |||
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123 | |||
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123 | |||
# Разрешаем трафик на localhost | # Разрешаем трафик на localhost | ||
| Строка 245: | Строка 261: | ||
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4 | New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4 | ||
# Разрешаетм доступ к локальной сети 10.0.0.0/8 | # Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ | ||
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8 | New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8 | ||
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8 | New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8 | ||
| Строка 274: | Строка 290: | ||
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4 | New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4 | ||
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4 | New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4 | ||
</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.''' | </syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.''' | ||
