Некоторые картинки не загружаются из РФ и РК, используйте VPN.

вторник, 4 апреля 2023 г.

Windows разделяем трафик стандартными средствами ОС

 В отеле WiFi унылое говно (так было), я уже ранее показывал на чем он основан, но просканировав сеть все оказалось еще хуже:

  1. Смог просканировать сеть (были обнаружены почти все сетевые устройства и еще компьютер)
  2. Пароль хоть и заменили на Mikrotik`ах, но доступ к веб интерфейсу все равно есть, а значит и брутфорс тоже возможен
  3. Двумя Ubiquiti NS и Loco линеек дело не обошлось, их тут штук восемь точно, плюс штук восемь тарелок Unifi
  4.  При этом WiFi мост с соседним отелем основан на TPlink (какой-то арчер) с, внимание (!), дефолтным логином/паролем!, благодаря этому я узнал, что пароль от WiFi сети отличается от названия сети только цифрами 2022 в конце О_О
Человек сведущий сразу поймет, что такая сеть небезопасна ни для клиентов, ни для самого отеля, ведь угроза может исходить не от пользователя (клиент/сотрудник), а от его сетевого устройства и без его ведома. Да и вообще, размещать сетевые устройства и гостевую сеть без разделения - плохой тон, клиент не должен ничего видеть в сетевом окружении.

Ну эт я отвлекся. У меня есть три симки:
  1. Tele2 RU
  2. Beeline KZ
  3. DrimSim
За роуминг они хотят (помегабайтово):

  1. Tele2 RU - 25 руб
  2. Beeline KZ - 59 тенге (10 руб)
  3. DrimSim - 0,01 евро (85 коп)
Разница велика, но все равно платить не хочется. Опыт показал, что ноутбук жрет очень много трафика и вешать на роуминг музыку/браузер/телеграм и прочее - неоправданно дорого.

за пять дней, даже при цене 85 коп это вышло бы 18300,5

При этом в винде есть настройка лимита, но нет настройки ограничения доступа к интернету так, как это сделано на андроиде, когда я телефону говорю:
  1. Можно в интернет
    1. Банки
    2. Мессенджеры
      1. загрузка медиа в роуминге только по моему решению
    3. Браузер
    4. Карты и навигатор
  2. Остальные в топку (зачем галерее интернет то?)

Подумал решить поставленную задачу при помощи USB Modem (в режиме роутера) + Windows Firewall + Route:
  1. интерфейсу от модема задаем максимальную метрику, чтоб только в крайнем случае туда попадал пакет
  2. Разрешаем исходящие с сети USB Модема только на определенные айпи и себя же (чтобы иметь доступ к интерфейсу модема)
  3. Запрещаем все исходящие с сети модема от USB модема
  4. Создаем маршруты до нужных нам сервисов
Но, выяснилось что Windows Firewall так не работает, очередность у него роли не играет и главные правила - запрещающие.
_________________________________________
Собственно в упрощенном варианте можно решить и будет также как и на андроиде:
включаем для профиля сети "Общественные" блокировка исходящего трафика, отключаем все разрешающие правила на данном профиле и добавляем новые правила для интересующих нас служб/программ/портов
Ну или наоборот, внутренней сети нашего модема доверия то поболе будет, поэтому общественному профилю ограничений не даем, даем частному. Применяем профиль сети к модему, а для WiFI в отеле оставляем тип - общественная. Дальше маршрутами раскидываем кого - куда. У данного варианта есть свои:
  • косяки
    • если сети две, то нужно писать маршруты при каждой потребности
  • плюсы
    • в режиме только одной сети будет работать как на андроиде, о маршрутах можно не думать
    • работы только по известным программам/службам/портам достаточно подкидывать маршруты, в правилах подставлять IP не надо
    • трафик блокируется на уровне сетевого профиля, а значит IP модема нужен только для маршрутов
_________________________________________

Возвращаемся к нашей задаче, оказывается можно сделать вариант аля стандартного файервола, когда значение имеет порядок, а не запрет. Для этого используется "Политики IP безопасности". Изначально придуманы для IpSec, но можно использовать и без.

Собственно план остается прежним. Создаем политику, в политике сразу добавляем оба действия (блокировать/разрешать), списки блокировок и разрешений и связываем их между собой в одну политику. После чего надо нажать ПКМ по политике - назначить, то что изначально вызвало у меня ступор, т.к. политика не работала. Ну добавляем маршруты по необходимости.
  • косяки
    • прописывать IP надо и в маршруты и в политику
  • плюсы
    • жесткие ограничения на уровне IP и портов
    • не требуется менять сетевой профиль
К этому можно прибавить типа jump сервер на Mikrotik, и все обходится одним маршрутом, НО, нужно понимать что в некоторых случаях такое решение приведет не к одной инкапсуляции, а значит накладные расходы возрастут.

В итоге я смог поработать более-менее прилично и оставлю сие решение на память, ибо найти его быстро и решительно я не смог, может кому пригодится
Написал в
Общее:

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)