Как блокировать программе доступ в интернет в зависимости от моего IP?

Question

[Константин Мельников]

Доброго времени суток товарищи. IP моего провайдера иностранными ресурсами (да и некоторыми российскими) регистрируется как украинский. По этому я на постоянке использую VPN на роутере с российским регионом. А то уже ловил блокировку аккаунтов за это и приходилось доказывать что я в России. Но VPN штука нестабильная, иногда приходится перезапускать. И в такие моменты я могу забыть выключить приложение.

По этому мне нужен какой то способ блокировки этим приложениями доступ в интернет не через VPN. Повторяю VPN на роутере, следовательно нужно определять мой IP адрес и в зависимости от него (или скорее диапазона адресов) разрешать или блокировать доступ.

Как бы это можно было устроить? Может есть софт для подобных действий?

Comments

[Alexey Dmitriev]

Это называется kill switch. В зависимости от роутера настраивается по разному

[Константин Мельников]

Alexey Dmitriev, нет такого на моем роутере. Он у меня всего за 10к, слишком дешевый

[Константин Мельников]

Alexey Dmitriev, а если ты о функции отключения интернета если VPN потерял подключение, то это в моем роутере по умолчанию включено и нельзя отключить. НО! Если VPN все же не может подключиться, он будет бесконечно пытаться и часто безуспешно. И нужно его вручную выключить и включить. И В ЭТОТ МОМЕНТ я палю свой IP чего я не хочу допускать...

[Drno]

Константин Мельников, дело не в цене роутера, а в OS на роутере)

[Drno]

Константин Мельников, никак ты не избавишься от этого в момент переподключения VPN

[Ziptar]

Константин Мельников, "kill switch" как готовый функционал в роутерах вообще отсутствует, это наименование техники, которая колхозится самостоятельно. Встроенный он только в приложениях впн-сервисов имеется, потому что на винде сапомальный килл свич реализовать не слишком просто, т.к. винда шибко умная

[Константин Мельников]

Drno, причем тут роутер вообще? Как роутер сможет блокировать доступ в интернет конкретной программе запущенной на другом устройстве?

[Drno]

Константин Мельников, запросто может. если знать ip \ домены к которым обращается программа

Answer 1

[HELPY4]

Можно сделать локальный DNS-сервер, который будет банить домены к которым нельзя подключаться с Вашего айпи, и указать в настройках впна работающий DNS-сервер (8.8.8.8, например) чтобы домены резолвились только с впн-туннелем. Но!!! TTL должен быть очень низким чтобы после отключения впна устройство/роутер "не помнило" домен и подключилось к локальному DNS-серверу чтобы узнать домен (а там у вас бан домена и устройство не подключится к домену).
DNS-сервер можно поднять хоть на том же устройстве, где вы сидите, или на роутере

Answer 2

[rPman]

Интернет должен быть ethernet типа а не точка-точка (tap в идеологии linux, а не tun), а так же, ip удаленной машины vpn должен быть из твоей же локальной сети (обычно vpn делают отдельную локальную сеть, добавляя в нее машину клиента и удаленную машину, нужно найти или сделать самому правильный).

Шлюз по умолчанию на роутере пропиши на эту удаленную машину (на ней должен быть настроен nat), в этом случае если vpn сломается, у машин будет неправильный шлюз по умолчанию и интернет на них работать не будет

Мало того, в такой конфигурации можно прописать на локальных машинах таблицы маршрутизации (route add ... ) на выбранные подсети, что бы они ходили через локальный шлюз (который подключен к твоему провайдеру и через который у тебя работает интернет), список российских сетей можно взять тут (заодно осознаете, на сколько ущербным получается результат, к которому стремится наше правительство, бездумно копируя китайский опыт)

p.s. для работы из браузера есть лучше способ - прокси сервера, локальный socks прокси поднимается простым ssh -D1080 ... до любой vps-ки (ничего настраивать не нужно), а значит можно играть с профилями браузера и расширениями типа foxyproxy (осторожно со штатной .pac конфигурацией, при наличии ошибок в них браузеры без ошибок молча переключаются на direct подключение)

Comments

[Константин Мельников]

Много написал но ничего не понятно. Как шлюз на роутере прописать? Я искал искал, не нашел ничего похожего на это. У меня роутер а не андронный колайдер. Таблицы маршрутов как прописать? Просто в блокноте могу написать? Или на листочке и приклеить к монитору, это сработает?

Работа из браузера мне как раз не нужна. Я же писал об приложениях приложениях, не о браузере

[Константин Мельников]

rPman вот настройка VPN на роутере. Где тут шлюз настраивать? Где нат настраивать? Я могу его только включить или выключить, не более

[rPman]

Константин Мельников, не думаю что таким роутером вы что то сможете сделать

[Константин Мельников]

rPman, так я и не спрашивал как это делать на роутере. Откуда роутер будет знать какая программа запущенна у меня НА ПК!?

[Ziptar]

tap в идеологии linux, а не tun

Ммм, идеология линукс тут ни при чём, это просто наименования виртуальных драйверов, в виндах они такие же.

Мало того, в такой конфигурации можно прописать на локальных машинах таблицы маршрутизации (route add ... )

Только винда самостоятельно отбрасывает нерабочие маршруты, так что килл свич, построенный на маршрутах, в лоб работать не будет, там доп. манипуляции нужны

Answer 3

[Виктор Таран]

если у тебя роутер типа keenetic
то для нрих есть инструкции.
1. ПОдключаешь впн и тд доп подключением.
2. ДОбавляешь таблицы маршрутизай загружая файл.
В результате у тебя интернет локальный
а для ютьюба и тд используются маршруты через впн.

Answer 4

[Александр Демин]

На приложениях с VPN давно есть раздельное туннелирование, где можно задать какие приложения полезут через VPN а кто нет. Во всяком случае тогда самое простое искать такой VPN сервис.

Comments

[Константин Мельников]

Парни. Вы вообще читаете что я спрашиваю? Во первых VPN НА РОУТЕРЕ. На РОУТЕРЕ КАРЛ!
Во вторых, я тут не про VPN спрашиваю, а о способе блокировать доступ программе к интернету в зависимости от моего IP

[Александр Демин]

Перечитал как было прошено, +/- понял вопрос. Короче на самом деле, достаточно потно будет такое осуществить, и просто ПО аля на компьютере не прокатит. В моем представлении надо втыкать маршрутизатор до провайдерского, то что мне лично ближе и по функционалу скорее всего осуществимо это MIkroTik., других железяк не трогал но это самое дешёвое решение. Но это даже не половина беды, у вас скорее всего трафик идет из за IP провайдера, то есть натируется, это значит да что может использоваться некоторый пул адресов или же фиксированный адрес провайдера, но какой он конкретно если пул, провайдер скорее всего вам не скажет, и будете хз сколько эти адреса вычленять и добавлять в списки. Последняя беда, просто так приложения вы не заблокируете, так как программы могут устанавливать большое множество различных соединений за которыми можно и не уследить. Банально пример: программа стучится на сервер 10.10.1.X:50500, вы кроете IP, тогда может быть как резерв начнет ломиться на 10.11.5.X:50500, перекрыли, начент ломиться на 10.10.1.X:50501 и т.д. и практически одновременно. Можно посмотреть брандмауер винды что он умеет, и там можно пробовать из под приложений блокировать весь исходящий трафик, но также надо учитывать и входящий. Так же как допустим со Steam если вы залочите к примеру Steam.com то этот адрес вообще не будет являться всем стимом там целая эко система, это для примера. В общем тут надо комплекс настроек делать, пробовать и углубляться в тему прилично. Может быть будет какой-то смысл что то с белым IP сделать, это хотя бы решит вопрос натирования. Дальше надо думать, вопрос интересный по своему, но по факту изврат какой то. Надо искать, как сказал углубяться, чего я делать бы не стал по этому вопросу. Но уверен что решение более лаконичное должно существовать. Извиняюсь если где-то было много воды но и вопрос водяной тоже)

[Александр Демин]

Скорее бы подошел бы другой вариант, это дело маршрутизировать или делать свой VPN сервер, и если нас беспокоит один ресурс, то это уже дело проще будет настраивать, таких и подобных решений в инете ощутимое количество.

[Константин Мельников]

Александр Демин, через брандмауэр винды все просто. Указываешь приложение и блокируешь все исходящие подключения, второе правило для всех входящих. И все

Только вот эти два правила еще нужно включать выключать в зависимости от моего IP а этого брандмауэр уже не умеет...

[Александр Демин]

Константин Мельников, я о том и говорю что с брандмауэром то оно все понятно и притом хоть и понятно не всегда работает, а уже в этот алгоритм включить включать смену IP и от смены плясать, это уже совсем другой уровень вопроса где то до уровня 4 по модели OSI. Тут напрашивается еще вариант в копилку это программирование, так как вам надо пинговать свой пул который у вас будет, при полученном значении его передавать куда-то, и от этого значения если пропишете скрипт, в котором в полне можно изменять правила брандмауэра, этот скрипт их будет постоянно переключать. То в случае с виндой это PowerShell. Если ничего это не подходит. То для вас решений не будет простых. Либо лично я не знаю о другом.