- Блокировка сайтов в роутере Keenetic ZyXel через правила Firewall
- С помощью статических маршрутов
- С использованием локальных политик IP-безопасности (IPSec)
Блокировка сайтов в роутере Keenetic ZyXel через правила Firewall
Итак, представим, что у нас в руках какой-нибудь ZyXel Keenetic (которые компания гордо называет интернет-центрами) и нам нужно разграничить доступ в интернет для различных хостов. Сначала разберемся с построением правил в целом, а после разберем задачку, где потребуется паре хостов предоставить неограниченный доступ, одному - только доступ к удаленному серваку, а всем остальным наглухо закрыть доступ в интернет. Всё это делается через пункт меню Безопасность -> Межсетевой экран.
Поставленные задачи можно решить с помощью правил межсетевого экрана для интерфейса Home Network. И всю эту настройку мы производим в указанном выше пункте меню.
По клику на кнопку Добавить правило откроется окно настройки этого самого правила, и вот что оно из себя представляет:
Здесь мы выбираем, разрешает нам что-то это правило или запрещает. Если выбран интерфейс ISP, то источником будет вся сеть, а назначением пул IP-адресов, которые раздает роутер. В случае, если мы настраиваем правило для домашней сети (интерфейс Home Network или просто Home), то всё будет наоборот - источниками станут IP домашней сети, а назначением внешние адреса. Далее Протокол, здесь мы выбираем, куда распространяется создаваемое нами правило. Если мы хотим ограничить доступ на какие-либо сайты, то нам следует создать Rules для протоколов TCP, UDP и ICMP. В этом случае пункты меню Порты оставляем в режиме любой.
Цитата: На заметкуВ роутерах ZyXel айпишники делят на адреса источника и назначения, у других вендоров это обычно зовут так:
destination (dst) - назначение;
source (src) - источник.
Теперь простая задачка. Мы хотим, чтобы для всех хостов был закрыт доступ в соцсеть вконтакте. Для начала нужно узнать, какой или какие IP-адреса у этого сайта. Тут нам поможет консольная команда Windows - nslookup.
nslookup vk.com
Server: UnKnown
Address: 192.168.237.200
Не заслуживающий доверия ответ:
Name: vk.com
Addresses: 87.240.165.82
95.213.11.180
Нам прилетает ответ, что наш DNS-сервер резолвит данный адрес в такие-то IP-адреса. Их мы и прикроем.
Такое же правило сделаем для протокола UDP и ICMP. Всё, теперь доступ к втентаклю ограничен.
Это был самый простой вариант использования Firewall-правил, теперь перейдем к более творческой задаче, о которой уже говорилось в начале статьи.
Примечание. Принцип работы правил межсетевого экрана таков, что они выполняются по порядку сверху вниз, таким образом, разрешающие правила должны находится вверху списка, а общие правила для большого количества хостов следует располагать внизу списка.
Для реализации нашей задачи мы будем создавать правила на интерфейс Home network (Wired and wireless hosts), поэтому выберем его в соответствующем меню на вкладке межсетевого экрана.
Цитата: Если кто-то забыл задачуСначала разберемся с построением правил в целом, а после разберем задачку, где потребуется паре хостов предоставить неограниченный доступ, одному - только доступ к удаленному серваку, а всем остальным наглухо закрыть доступ в интернет.
Вначале создадим правила для хостов, имеющих неограниченный доступ:
И, как водится, тоже самое повторим для UDP и ICMP протокола. Теперь хост, имеющий IP 192.168.1.228 будет иметь доступ к любым узлам сети без каких-либо ограничений.
Важно! В качестве оффтопа объясню как на ZyXel настроить выдачу одного и того же IP конкретному хосту, т.е. как запилить привязку по MAC-адресу. Делается это в разделе меню Домашняя сеть во вкладке Устройства:
Теперь при подключении к роутеру данное устройство всегда будет динамически получать один и тот же IP.
Поехали дальше. В задаче было сказано, что не иметь ограничений должны два хоста, поэтому создаем permit-правила (разрешающие) для его IP, например, 192.168.1.229 по все тем же трем протоколам TCP, UDP и ICMP. Готово.
Теперь нам нужно создать правило для хоста, которому нужно прикрыть всё кроме одного единственного сайта, пусть это будет linkintel.ru (IP узнаем консольной командой nslookup):
Точно также пилим правила для протоколов UDP и ICMP.
Но чтобы попасть на этот сайт хосту нужно обратиться к DNS-серверу, поэтому его IP также нужно добавить в список разрешенных. DNS-сервер также всплывает в nslookup.
Помимо TCP/53 делаем также правило для протокола UDP/53.
В довершение всего блокируем доступ остальным хостам прямо по сетевой маске.
Аналогичное действие для UDP и ICMP протокола.
Такой у нас будет итог:
Не пугаемся, просто на картинке правила сделаны для других IP. 192.168.1.33 и 192.168.1.34 имеют неограниченный доступ, а для 192.168.1.35 он порезан.
Важное дополнение. Вообще-то куда удобнее работать с правилами межсетевого экрана через текстовой редактор, используя файл конфигурации роутера. Выцепляем файлик startup-config в меню Настройка -> Файлы (в более свежих версиях прошивки он лежит в Система -> Конфигурация) и открываем его в любом текстовом редакторе, например, в Блокноте. После редактирования сохраняем изменения и закидываем файл обратно на роутер.
access-list _WEBADMIN_ISP
permit tcp 194.152.35.79 255.255.255.255 0.0.0.0 0.0.0.0 port eq 80
deny tcp 217.20.155.58 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 217.20.156.159 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 5.61.23.5 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 95.213.11.180 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 87.240.165.82 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 87.240.165.82 255.255.255.255 port eq 80 0.0.0.0 0.0.0.0 port eq 80
deny icmp 87.240.165.82 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 104.244.42.129 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 52.21.53.45 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 52.7.122.35 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 54.175.107.36 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 54.209.247.221 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 54.175.203.218 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 54.173.74.145 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 52.1.102.11 255.255.255.255 0.0.0.0 0.0.0.0
deny tcp 52.45.107.175 255.255.255.255 0.0.0.0 0.0.0.0
permit tcp 192.168.237.237 255.255.255.255 0.0.0.0 0.0.0.0 port eq 80
!
access-list _WEBADMIN_Home
В приведенном примере конфига правила сделаны для интерфейса ISP, в Home всё по аналогии. (link)
Как заблокировать доступ по ip-адресам описано выше. Если же вы говорите о блокировке по доменному имени, и по какой-либо причине SkyDNS вам не подходит, есть еще обходной путь - добавить в файл конфигурации startup-config.txt команды ip host с именами сайтов, которые вы хотите заблокировать и несуществующим ip-адресом, например вот так:
ip host www.rbc.ru 192.168.1.20
...
после чего сайт www.rbc.ru будет заблокирован. Всего можно добавить 64 таких записи.
Но следует отменить, что некоторые сайты, например Вконтакте, используют большое число доменных имен, поэтому заблокировать их таким способом непростая задача. В таких случаях SkyDNS конечно предпочтительнее. Этот сервис имеет широкие возможности блокировки/разрешения доступа к сайтам как по категориям, так и по конкретным url, дает возможность посмотреть статистику обращений. К сожалению он платный, для 3-х устройств на данный момент 450р\год, а бизнес версия более 10-ти устройств 4500руб\год (цены на июль 2021).
С помощью статических маршрутов
Статический (постоянный) маршрут — это жестко заданный путь следования пакетов от одного сетевого узла к другому. Например, от вашего компьютера к серверу, на котором хостится веб-сайт. Прописав в реестре Windows или в настройках роутера ложный маршрут к интернет-ресурсу (точнее, к его IP-адресу), вы сделаете так, чтобы он не открывался.
- Определите с помощью команды ping_URL IP-адрес нужного сайта.
- Не закрывая командной строки (она должна быть запущена от админа), выполните еще одну инструкцию: route -p add IP_целевого_сайта mask 255.255.255.0 192.168.1.0 metric 1.
- Как это выполнить:
Ответ «Ок» означает, что маршрут к сайту 213.180.193.3 создан. Теперь на этом компьютере ya.ru открываться не будет.
В реестре Windows все статические маршруты находятся в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes.
Чтобы убрать оттуда запись, ставшую ненужной, и возобновить доступ к сайту, щелкните по записи правой кнопкой мышки и выберите «Удалить». Или выполните в командной строке инструкцию route — f. Последний способ удаляет все существующие постоянные маршруты. Если хотите убрать только один из них, выполните команду route delete IP_целевого_узла, например, route delete 213.180.193.3. После этого сайт ya.ru снова станет доступным.
С использованием локальных политик IP-безопасности (IPSec)
Использование для ограничения доступа в Интернет политики безопасности IP (IPSec) — способ нетривиальный. О существовании такой возможности знают очень немногие (в отличие от Hosts), и тот, для кого вы заблокируете некий веб-ресурс, ни за что не догадается, как вы это сделали.
С помощью IPSec можно блокировать как отдельный IP сайта, так и пул адресов. Единственный недостаток этого метода в том, что оснастка управления политиками есть не во всех редакциях Windows. Так, в домашних выпусках она отсутствует.
Создание политики IP-безопасности может показаться сложным, но только в первый раз. После нескольких попыток оно не будет отнимать у вас больше 2-3 минут. Тем более, что каждый шаг настройки сопровождает Мастер.
- Итак, для доступа к оснастке откройте в панели управления раздел «Администрирование», щелкните «Локальная политика безопасности» и выберите «Политики IP-безопасности на локальном ПК».
- Нажмите правой кнопкой мышки на пустую область правой половины окна «Локальных политик» и выберите «Создать политику ИП-безопасности». Запустится первый Мастер настройки.
В открывшемся далее окошке укажите имя новой политики и кратко опишите ее назначение. Можно оставить эти поля по умолчанию, но лучше заполнить, чтобы потом не запутаться.
Следом нажмите «Далее», ничего не меняя.
Завершите работу Мастера, отметив «Изменить свойства» и щелкнув «Готово».
В окошке свойств будущей политики IPSec кликните «Добавить». Это запустит следующий Мастер — создания правил IP-безопасности.
В окне «Конечная точка туннеля» оставьте всё как есть. я
В разделе «Тип сети» выберите «Все подключения».
В «Списке IP-фильтров» (их только предстоит создать) кликните «Добавить». Следом — дайте вашему списку имя и снова нажмите «Добавить». Запустится третий Мастер — IP-фильтров.
Первым делом дайте новому фильтру описание (удобнее всего указать URL блокируемого сайта).
Источником трафика укажите «Мой IP адрес».
Назначением — «Определенный IP или подсеть». Ниже пропишите адрес блокируемого сайта или подсети.
В разделе «Тип протокола» отметьте «Любой».
Последним шагом нажмите «Изменить свойства» и «Готово». Осталось совсем немного.
Подтвердите параметры нового фильтра.
Если хотите создать еще один, щелкните в следующем окне кнопку Добавить. Иначе — нажмите «ОК». Это запустит Мастер настройки действий фильтров.
В «Списке ИП-фильтров» отметьте только что созданный и кликните «Далее».
Дайте имя и описание тому, что он будет делать (блокировать сайт).
В параметрах действия укажите «Блокировать».
Завершающий шаг этапа — «Изменение свойств» и завершение работы мастера.
Теперь снова проверьте и подтвердите настройку.
Последний рывок — создать правила безопасности. Этим займется пятый Мастер.
По окончанию его работы опять измените свойства и нажмите «Готово».
Проверьте и подтвердите параметры нового правила.
И напоследок — все свойства политики. Она создана и отображается в списке раздела.
Осталось привести политику в действие. Кликните по ней правой кнопкой мышки и выберите «Назначить».
В разделе «Свойства» вы сможете в дальнейшем изменять любые параметры политики, а через контекстное меню — отключать, переименовывать и удалять.
Фото Чака 180520 до стрижки
http://ipcamnn.ru/index.php/sites/earth-moon-2018/98-icetheme/sites#sigProId46a7ce5abf
Фото Чака 190520 после стрижки
http://ipcamnn.ru/index.php/sites/earth-moon-2018/98-icetheme/sites#sigProIdeb8891e2e0
Фото Чака разные
http://ipcamnn.ru/index.php/sites/earth-moon-2018/98-icetheme/sites#sigProIdfd042b8683
Фото Чака после стрижки
http://ipcamnn.ru/index.php/sites/earth-moon-2018/98-icetheme/sites#sigProId3f0abf0647
Видео Чак
При обшивке дачного дома сайдингом осталось много обрезков, но так-же была необходимость обшить часть деревянной стены под навесом. Из-за того, что эта часть стены выступала нужно было купить специальный начальный профиль. Но такого профиля не производят. Т.е. вопрос встал так, либо купить этот профиль и самим его дорабатывать (т.е. примерно 30-40% - отпиливать и выкидывать). А стоит трехметровая планка наружного угла примерно 800 рублей за 3 погонных метра. Либо попробовать согнуть имеющийся сайдинг (из остатков, которые никуда бы не подошли и по окончании работ попросту были бы утилизированы).
После разметки панели сайдинга, её, при помощи струбцины, зажали между двух уголков по линии будущего сгиба и примерно в течении 2-х минут нагревали строительным феном по всей длине сгиба, аккуратно загибая панель.
http://ipcamnn.ru/index.php/sites/earth-moon-2018/98-icetheme/sites#sigProId747ce5222a
В принципе, как оказалось ничего сложного нет. Профиль польского производства VOX. Для наглядности представлено видео, фоновая музыка собственная :)
В мире все взаимосвязано, в этом не приходиться сомневаться. Взаимосвязь Луны и Земли рождает приливы и отливы. Если таковое влияние оказывается на моря и океаны, то может оно и на жидкую магму тоже сказывается, а соответственно и на движение мантии и литосферных плит? Например в 2011 суперлуние (совпадение перигея с новолунием) произошло за 8 дней до катастрофического землетрясения у берегов Японии 11 марта. Перигей это момент максимального сближение Луны с Землей.
Чтобы проверить эту теорию, создал таблицу на 2018 год. Исходя из нее, крупное землетрясение должно произойти в июле 2018 года.
Явление | Дата | Время | Расстояние между Землей и Луной (км) | Фаза Луны |
---|---|---|---|---|
Перигей: | 27 фев | 17:46 | 363 951,90 | |
Апогей: | 11 мар | 12:16 | 404 640,43 | |
Перигей: | 26 мар | 20:25 | 369 137,93 | |
Апогей: | 08 апр | 8:31 | 404 103,92 | |
Перигей: | 20 апр | 17:33 | 368 745,21 | |
Апогей: | 06 мая | 3:31 | 404 419,81 | |
Перигей: | 17 мая | 23:57 | 363 795,93 | |
Апогей: | 02 июн | 19:26 | 405 288,40 | |
Перигей: | 15 июн | 2:45 | 359 513,35 | |
Апогей: | 30 июн | 5:29 | 406 046,77 | |
Перигей: | 13 июл | 11:18 | 357 432,89 | новолуние |
Апогей: | 27 июл | 8:27 | 406 227,80 | полнолуние |
Перигей: | 10 авг | 21:00 | 358 072,30 | |
Апогей: | 23 авг | 14:12 | 405 767,79 | |
Перигей: | 08 сен | 4:12 | 361 335,84 | |
Апогей: | 20 сен | 3:47 | 404 909,68 | |
Перигей: | 06 окт | 1:18 | 366 366,89 | |
Апогей: | 17 окт | 22:14 | 404 267,03 | |
Перигей: | 31 окт | 23:22 | 370 166,98 | |
Апогей: | 14 ноя | 18:57 | 404 378,88 | |
Перигей: | 26 ноя | 15:20 | 366 594,56 | |
Апогей: | 12 дек | 15:30 | 405 211,19 | |
Перигей: | 24 дек | 12:56 | 361 047,30 |
13 июля 2018 года, расстояние между Землей и Луной будет минимальным за весь 2018 год, и будет равно 357 432,89 км. Т.е. в этот день (11:18мск) произойдет суперлуние. Так-же, 13 июля 2018 года прогнозируется новолуние, т.е. Луна будет находиться между Землей и Солнцем примерно на одной прямой.
Нужно было на одном сайте разместить калькулятор расчета стоимости установки натяжных потолков. От калькулятора требовалась простота и понятность для посетителей сайта. Создал такой калькулятор. В принципе, скрипт может быть использован не только для расчета стоимости установки натяжных потолков. После заполнения данных, он рассчитывает периметр, площадь и стоимость.
С примером работы скрипта, можно ознакомиться здесь.
Данный калькулятор достаточно прост в установке. Код тоже не сильно громоздкий.
Сам же код тут:
Столкнулся с такой проблемой, внешний винчестер стал временами громко работать, к файлам (в основном фильмы) при просмотре, пропадал доступ. Да и сам винчестер не всегда с первого раза системой определялся.
Внешний винчестер Seagate FA GoFlex Desk размером 1 терабайт. Был куплен в 2011 или 2012 году. На протяжении этого времени, работал практически круглосуточно. Использовался в основном как хранилище файлов и для закачки с торрентов (что видимо и повлияло на сбои в работе). У всех устройств - свой ресурс работы заложен.
В общем, решил его восстановить, прежде чем новый покупать. Начал со стандартной программы входящей в OS Windows – CHKDK. Запустил командную строку от имени администратора и набрал команду chkdsk K: /F /R (где K – буква проверяемого диска). Параметры F и R подразумевают автоматическое исправление поврежденных секторов.
После сканирования, поврежденные сектора были найдены и исправлены, но работа винчестера не изменилась (т.е. так-же переставал отвечать, ошибки и т.п.).
Решил что одной CHKDK не обойтись, нужно форматирование.
Помимо мультимедиа файлов, на нем хранились дистрибутивы программ, бэкапы сайтов (с кучей файлов) и фотографий.
В общем копирование инфы с него, на локальное сетевое хранилище, заняло почти неделю. При том, видимо из-за повреждения жесткого диска, не все файлы перемещались. Приходилось их пропускать, а после архивировать и уже архив переносить (не знаю, будут ли они читаться после разархивации).
От стандартных средств форматирования в Windows, решил отказаться. Скачал замечательную программу HDD Low Level Format (скачать с оф.сайта, скачать с Яндекс-диск). Конечно это не то низкоуровневое форматирование, которое в заводских условиях проводится, но за неимением завода, ничего другого не остается. К тому-же, в данном случае восстановление информации не требуется (практически все скопировал).
Низкоуровневое форматирование:
Важно:
- перед запуском программы HDD Low Level Format Desk отключите антивирусы, фаерволлы торренты, окна проводника и прочие программы, которые могут обращаться к форматируемому диску. Форматирование не произойдет, появится сообщение об ошибке, мол диск занят.
- вся информация находящаяся на диске – будет уничтожена и скорее всего, восстановить её не удастся.
- позаботьтесь о бесперебойном электропитании. Если в процессе форматирования отключат электричество, то работоспособность жесткого диска в дальнейшем, окажется под угрозой. Т.е. он в хлам (в «кирпич») превратится. Так-же не запускайте на ПК программы, которые могут вызвать его зависание, во время форматирования. Зависание ПК приведет к тем-же последствиям, что описаны выше.
- запаситесь временем. Низкоуровневое форматирование USB винчестера емкостью 1Тб, у меня заняло около 7 часов.
- Итак запускаем программу (кликаем по ярлыку), появляется окошко с предложением её купить либо продолжить бесплатно. Здесь на ваше усмотрение, я лично бесплатной версией воспользовался «Continue for free».
- Выбираем жесткий диск, который необходимо отформатировать и жмем «Continue»
- В следующем окне выбираем вкладку «LOW-LEVEL FORMAT». Для низкоуровнего форматирования не ставим галочку в пункте «Perform quick wipe (just remove partitions and MBR)». И жмем «FORMAT THIS DEVISE». Появится окошко с предупреждением, что все данные на жестком диске будут уничтожены. Соглашаемся и начинается процесс форматирования низкого уровня.
- Процесс начался. У меня он занял, как я выше уже говорил, около семи часов. Ни в коем случае не закрывайте программу и не выключайте ПК. Прерывание работы программы, может навсегда «убить» жесткий диск.
- Когда процесс завершится, «зеленая полоса» должна пожелтеть. Программу можно закрыть.
Сам же жесткий диск не появится в «Этом компьютере», в смысле в «Проводнике». Его нужно отформатировать форматированием высокого уровня.
Форматирование высокого уровня.
- Данное форматирование можно произвести в различных программах. Но я воспользовался стандартными средствами Windows 10 (данные средства есть во всех ОС Windows начиная с 2000-го). Правой кнопкой мыши нужно нажать на ярлык «Этот компьютер», выбрать в контекстном меню «Управление».
- В открывшемся окне в левой колонке найти и нажать «Управление дисками». Должна начаться инициализация дисков и появится окно с выбором параметров. Здесь важно обратить внимает, на то, в каких ОС будет в дальнейшем использован винчестер. Если только в Win10, то можно выбрать второй пункт (GPT). Я лично установил MBR (т.к. диск имеет USB-интерфейс, и может быть к разным ПК подключен, с разными версиями ОС Windows)
- После нажатия «ОК» диск распознается системой. Его «область» будет «не распределена». Нужно на нем нажать правую кнопку мыши и выбрать в выпадающем меню «Создать простой том».
- Откроется «Мастер создания простого тома», нажимаем «Далее»
- Здесь предлагается установить размер простого тома. Я в данном случае ничего не менял. Жмем «Далее».
- В следующем окне, предлагается назначить букву жесткому диску. Эта буква будет отображаться рядом с ним в «Проводнике». Я назначил букву «H». Нажимаем Далее.
- В новом открывшемся окне выбираем параметры форматирования. Стандартно: файловая система NTFS, Размер кластера – По умолчанию, Метка тома, это название диска, которое будет отображаться в «Проводнике» рядом с его буквой. Советую латиницей называть. Ставим галочку «Быстрое форматирование» и жмем «Далее».
- Жмем «Готово»
- Данное форматирование, у меня, несколько секунд заняло.
Важно: Если возникли проблемы с жестким диском, то все методы его восстановления – не панацея. Делайте резервные копии важных файлов и документов. Как правило, работы по восстановлению информации с «мертвых» жестких дисков стоят очень дорого. Только техническая часть, по цене такого-же нового винчестера + работа системщика. И никто не даст гарантию, что информация будет восстановлена.
Он-лайн стратегия «Построй свой город». Цель игры, обустроить город, последовательно, предварительно выбрав направление в развитии
На карте отображена сейсмическая активность на Земле, мощностью более 4-х баллов по шкале Рихтера.