Dopelngager

Добрый день.

Многие наверное подумают - что это немного не тот сайт и не стоило сюда писать, но решил поделиться данной наработкой. Думаю кому-то эта статья будет полезна.

Вопрос с управлением доступом к Skype - это больная тема многих сетевиков и администраторов. В попытках найти решение в интернете многие собирают статистику подключений Skype и открывают доступ полностью в весь пул сетей - но анализ этой чудо программы показал что это не вариант, так как я не очень люблю как работают некоторые вещи для меня непонятным образом, решил что нужно принимать какие-то меры. Так же многие упоминают про Layer 7 protocol - но в случае с L7 у Вас получится только корректно заблокировать доступ, но не управлять им. Для понимания: Skype - очень противное приложение в плане сетевого взаимодействия, ломится на кучу IP-адресов и хостов по куче портов среди которых и 80 и 443. Решение есть и оно довольно простое, мы будем использовать метки DSCP (TOS) и делать будем это средствами самой Windows. О самих же метках лучше почитать внимательно в интернете.

Немного теории

Имеем доменную машину, с Skype на борту, через групповые политики добавляем DSCP(TOS) метку на приложение, маршрутизатор в свою очередь принимая метку маркирует соединение и на основе access-листа разрешает, либо запрещает соединение.

Собственно будем пытаться сделать как на схеме. Метку при этом я выбрал 32 - она довольно распространенная даже среди провайдеров, но мы не будем лезть в входящий и исходящий трафик, мы лезем только в "проходящий мимо". Почему 32? - а у нее просто очень хорошее число, в бинарном виде DSCP передается как 100000, а TOS 100 - дело в том что некоторые старые устройства не понимают что такое DSCP и метку обрезают с конца до TOS и число 100000 превращается в 100 - такую метку наш роутер тоже поймет. Еще бывает коммутаторы промежуточные срезают метку поставленную роутером - не доверяют типа роутеру, для этого надо на примере коммутаторов SNR добавлять строку на интерфейс mls qos trust dscp. Ладно, хватит теории, к делу.

Практическая часть

Сначала нам надо повешать метку на приложение - открываем редактор локальной групповой политики

Переходим Конфигурация компьютера -> Конфигурация Windows -> QoS на основе политики

Нажимаем правой кнопкой мыши Создать новую политику. Добавляем профиль политики я ее назвал skype_dscp, следом нужно указать значение (от 0 до 63) и частоту передачи - я выбрал значение 32 и частоту передачи 2 Мб/с.

Далее нам надо выбрать приложение или URL-адрес приложения, URL как мы поняли нам неизвестен, собственно поэтому эта статья и написана, выбираем только к приложениям с именем исполняемого файла - в данном случае указываем skype.exe.

Далее нам следует указать IP-адреса, но нам опять же они неизвестны, да и не интересно собственно, в целом у нас итак будет возможность управлять им на роутере, поэтому ставим к любому исходному IP-адресу и к любому конечному IP-адресу.

Далее нужно указать протоколы и порты подключения, нам они опять же неизвестны, но известно что Skype использует как TCP так и UDP соединения, поэтому надо выпадающий список поставить TCP и UDP.

Нажимаем Ок и наша политика готова.

Для раскатывания политиками или добавления вручную достаточно добавить значения в ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\QoS\skype_dscp

Далее нам надо отмаркировать это дело на нашем микротике, заходим IP -> Firewall -> Mangle и добавляем новое правило:

Консольный вариант:

add action=mark-connection chain=forward comment=DSCP_32_mark_skype_connection_except_allow_all dscp=32 new-connection-mark=DSCP_32 passthrough=no src-address-list=!allow_all

У меня маркируется трафик Skype, кроме тех, кто в адрес-листе allow_all - это люди, которым дан полный доступ в интернет - нет смысла маркировать то, что итак доступно.

Теперь у нас приложение маркируется на роутере. Как узнаем? Да просто: заходим на микротик IP -> Firewall -> Connections, фильтруем по нашему Src.address и видим:

ОГО! И это подключения только с одного компьютера.....

Осталось разрешать или запрещать, создадим 3 правила на основе access-листа.

Создадим разрешающие правила, правило на source:

Правило на destination отличается от source только в вкладке Advanced:

Создадим теперь запрещающее правило - все тоже самое, только в Advanced ничего не ставим, а Action -Drop:

Консольный вариант всех трех правил:

add action=accept chain=forward comment=DSCP_32_allow_source_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32 src-address-list=Allow_Skype_for_User
add action=accept chain=forward comment=DSCP_32_allow_destination_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32 dst-address-list=Allow_Skype_for_User
add action=drop chain=forward comment=DSCP_32_reject_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32

Все готово! Для того, чтобы Skype разрешить пользователю доступ в Skype добавляем адрес компьютера пользователя в IP -> Firewall -> Address Lists название листа Allow_Skype_for_User. Для его запрета просто удаляем адрес из списка. Раскатать массово доменными политиками думаю сложности администратору не составит. На этом настройка закончена.

Рад если кому-то пригодится данный мануал.

Вдогонку этому к этому посту https://pikabu.ru/story/kitayskiy_prikol_a_komu_razvod_55919....

Пост не плюсов ради, а предостережения для. Столько шума вокруг нового высера от mail ru group под названием Pandao - который нарекли "Убийцей aliexpress". Стало интересно и решил по-скролить страницу, вот что увидел пролистав несколько страниц:

Ну бывает подумал, видел а усилители китайские по 400 рублей, зачеркнутая цена меня не удивила, а вот новая цена сразу заставила задуматься....

Нука aliexpress расставь все на свои места

Ок. Pandao - не убедили. Смотрим дальше скрины что там

Эм....

Нифига не понятно, прочитаем описание...

Спецификации: Инструмент для перестраиваемого форсунок.С большой разнообразием секций на одной оси.Легко обернуть резистивного провода вручную.Используется для атомизатора RDA намотки.Тип: DIY провода МоталкиМатериал: Нержавеющая СтальРазмер: 10см / 3.94 "(прибл.) Диаметр: 1.5 мм / 2.0 мм / 2.5 мм / 3.0 мм / 3.5 ммПримечания: Из-за света и экрана разница, цвет пункта может быть немного отличается от фотографии.Пожалуйста, позвольте небольшое измерение разницы из-за различных ручных измерений..Пакет Включает В Себя: 1 х DIY провода winder (другие не включены)

Все равно нифига не понятно. Я не особо понял что продают (догадываюсь что какую-то проволоку для усиления сигнала усилителя), но это точно не усилитель.

Листаю ленту дальше

Как поняли из описания - продают не подушку, а наволочку.

Зная как люди у нас не особо любят читать - это может сыграть злую шутку. Те, кому понравился Pandao - просто будьте аккуратнее и читайте внимательно, эти товары для примера - а таких там целая уйма.

Я ни в коем случае не защищаю aliexpress, но там могут возникнуть трудности из за неточности описания - которые можно списать на тупость/глупость/ахуевшесть китайца или трудности перевода, тут же другая ситуация (импортозамещение жеж). Так что спасибо Pandao - но нет, и до статуса "убийцы aliexpress" Вам еще очень далеко, да и цены у Вас нифига не вкусные.

Ссылки на сами товары.

"Усилитель"

"Подушка"

Всем кто дочитал, спасибо. Будьте внимательней и с наступающим Новым Годом Вас.

Может и не совсем интересно, но кому-то может понадобиться такой мануал (ни в коем случае не реклама, только в ознакомительных целях). Мне руководитель поставил задачу на работе и вот так я ее решил....

Представим ситуацию, когда, у нас появилось слишком много филиалов и в каждом стоит роутер "Mikrotik" (в моем случае их 50+), Вы всегда делали бэкапы и сливали конфигурацию...., НО! К примеру, работаете Вы не один - это раз, надоело вручную заходить и делать бэкапы - это два, даже если уверены в своих коллегах - нужно страховаться - это три. При всем этом роутеров много и количество будет рости. *Нужно автоматизировать это дело* - подумаете Вы, этим собственно и займемся.

Нужно:

- UNIX-подобная система (в моем случае FreeBSD)

- Пара роутеров "Mikrotik" для проверки скрипта

Принцип работы скрипта:

- Скрипт будет заходить на каждый роутер указанный в массиве по SSH, под каким-либо пользователем

- Давать команду на создание бэкапа в двоичном и текстовом виде, а именно в расширениях *.backup и *.rsc

- Сливать файлы на наш сервер по SCP

- Удалять созданные бэкапы на самом роутере

- Проверять в папке с бэкапами, чтоб файлы были не старше трех дней, если старше - то удаляем. Другими словами у нас будут бэкапы за последние три дня.

Поехали....

1: Создадим сначала пользователя, с нужными на правами. Заходим на наш микротик, в меню жмакаем System -> Users и переходим в открывшемся окне на вкладку Group, нажимаем на "+", чтобы добавить новую группу (я назвал ее script) и назначаем права как на картинке:

Далее переходим в вкладку Users и там жмем снова "+" вбиваем название пользователя, назначаем нашу созданную группу и пароль. Пусть будет у нас "Валли"

Должно получиться так:

2: Теперь нам нужно сгенерировать публичный ключ - для того, чтобы, скрипт подключался к микротику по ssh не спрашивая пароль т.е. автоматически. Заходим на наш FreeBSD под root'ом (для не знающих команда sudo su) и генерируем ключ командой: ssh-keygen -t dsa.

Будет вопрос в каком каталоге сохранять? я оставляю по дефолту, поэтому Enter, так же будет вопрос о пароле на ключ, оставляем пустой т.е. тоже нажимаем Enter.

Должно получиться так:

Проверить наличие сгенерированного ключа можно так: ls -lh /root/.ssh/ и увидите в списке свой файл, с названием id_dsa.pub.

3: Следом надо залить ключ на микротик. Возвращаемся к микротику, нажимаем IP -> Services и там есть сервис "ftp", если он выключен, то включите.

Возвращаемся на сервер и переходим в каталог с нашим ключом: cd /root/.ssh/.

Подключаемся на микротик через FTP командой: ftp 192.168.88.1

Спросит имя пользователя, вводим нашего: walle, следом пароль от него и увидите приветствие микротика:

Вводим команду передачи ключа: put id_dsa.pub и ....

Это говорит о том, что передача успешна и завершилась, вводим: exit.

4. Теперь надо назначить ключик нашему пользователю, переходим на роутер.

Откройте Files, там увидите свой ключик:

Ключ мы успешно импортировали и он будет работать.

Переходим на наш FreeBSD и пробуем подключиться по SSH с использованием ключа: ssh walle@192.168.88.1.

При первом подключении вам зададут вопрос: Are you sure you want to continue connecting (yes/no)? - отвечаем: yes. Больше спрашивать не будет.

После увидите приветствие роутера.

5. Необходимо на нашем FreeBSD создать папку для бэкапов, сделал я вот такой командой: mkdir /var/mikrotik_backups/.

Назначил полные права папке chmod 777 /var/mikrotik_backups/.

6. Необходимо создать сам файл скрипта: перехожу в свой каталог cd /usr/home/Dopelngager/ и создаем файл скрипта: touch backup_mikrotik.

Назначаю точно так же полные права chmod 777 backup_mikrotik.

7. Пришли теперь к основному, а именно к написанию скрипта.

Открываем файл скрипта командой: ее backup_mikrotik

и записываем в файл вот это:

#!/usr/local/bin/bash
routers=( 192.168.88.1 )
backupdir="/var/mikrotik_backups/"
privatekey="/root/.ssh/id_dsa"
login="walle"
DATE="`date '+%Y-%m-%d'`"
for r in ${routers[@]}; do
cmd_backup="/system backup save name=${r}.backup"
ssh ${login}@$r -i $privatekey "${cmd_backup}" > /dev/null
sleep 2
cmd_backup="/export file=${r}"
ssh ${login}@$r -i $privatekey "${cmd_backup}" > /dev/null
sleep 5
scp -i $privatekey ${login}@${r}:${r}.backup ${backupdir}$r-$DATE.backup
scp -i $privatekey ${login}@${r}:${r}.rsc ${backupdir}$r-$DATE.rsc
ssh ${login}@$r -i $privatekey "/file remove \"${r}.backup\""
ssh ${login}@$r -i $privatekey "/file remove \"${r}.rsc\""
done
find $backupdir* -mtime +3 -exec rm {} \;

Если у вас не один роутер, то, шаги с 1 по 4 нужно сделать с каждым и в скрипт добавить роутеры в строку "routers", между скобок. ОБЯЗАТЕЛЬНО!: добавлять роутеры через пробел и пробелы около скобок тоже должны быть! Для примера добавим еще один роутер:

routers=( 192.168.88.1 192.168.88.2 ).

Проверим наш скрипт, вводим команду: ./backup_mikrotik

Должен пойти процесс скачивания и сохранения файлов.

8. Остался последний шаг - это добавить скрипт в планировщик.

Вводим команду открытия планировщика Cron: ее /etc/crontab

Добавляем строки:

#backup Mikrotik routers

* 21 * * * root /usr/home/Dopelngager/backup_mikrotik

Сохраняем и необходимо перезапустить cron: /etc/rc.d/cron restart.

Таким образом я запланировал работу скрипта ежедневно в 21 час, еженедельно, ежемесячно, ежегодно. ВАЖНО! Соблюдайте пробелы и табуляции при добавлении записей в файл, cron чувствителен к этим вещам. А лучше про него подробнее почитайте в интернете.

У меня все, надеюсь было полезно. За ошибки и шакальные картинки простите. Unix-подобные системы знаю плохо, только учусь - так что сильно не придирайтесь. Если у кого есть вариант улучшить скрипт или его работу - обязательно приму во внимание.

А вот кстати результат работы срипта: