Как сделать так чтоб роутер запретил приложениям выходить в интернет?

Question

[alexsx06]

Именно приложениям, именно приложениям. Я правильно думаю что нужна поддержка прокси роутером.

Comments

[Довольный Айтишникъ]

Браузер тоже приложение, что именно вы хотели получить в итоге? Кому можно?

[alexsx06]

Довольный Жизнью, нельзя ни кому, кроме хрома и обновления винды

[Wexter]

alexsx06, это делается на стороне винды, а не роутера

[alexsx06]

Wexter, а нет винды, а доступ закрыть надо и да делают же в публичных сетях, значит возможно.

[Wexter]

alexsx06, в публичных сетях ограничивают доступ не по приложениям, а к ресурсам. И что значит нет винды, сами же писали что нужны обновления винды, значит 146% на компе у вас винда, вот на ней и настраивайте родной/сторонний файрволы

[DVoropaev]

Wexter, Возможно, что автор имел ввиду отсутствие возможности провести такие настройки на винде (допустим пользователи сети приходят со своими ноутбуками - не лесть же к каждому в настрйки винды)

[Wexter]

DVoropaev, это сути не меняет, фильтрацию по приложению на роутере вы никак не сделаете

Answer 1

[vreitech]

для этого нужно, чтобы приложение при выходе в интернет использовало набор реквизитов, доступный для ограничения в настройках роутера. реквизиты - MAC-адрес источника, IP-адреса источника и назначения, порты источника и назначения, транспортный протокол, возможно, DNS-имя узла назначения и что-то ещё в более-продвинутых моделях. под ограниченностью подразумевается, что совокупность всех реквизитов технически возможно ввести в файервол роутера (т. е. количество записей и их комбинации умещаются в памяти роутера, отведённой для файервола) и поддерживать их в актуальном состоянии (эти реквизиты не меняются слишком часто).
само приложение (имя приложения или его ID) реквизитом, доступным для применения в файерволе роутера, не является, поскольку в используемых при доступе в интернет протоколах не фигурирует.

Answer 2

[fpir]

Классика жанра:
В идеале есть восьмиуровневая OSI, нижестоящие уровни ничего не знают о вышестоящих, как и вышестоящие могут ничего не знать о нижестоящих. Приложения работают(внезапно) на 8м уровне(уровне приложений). Роутер имеет дело с 1-4м уровнем, при этом рулить вы можете 2-4м.
Операционная система знает всё о своих уровнях, поэтому там можно рулить доступом наиболее гибко. Но приложение, "опуская" свои данные вниз по уровням, оставляет метки, чтобы принимающая сторона могла распознать данные для себя и поднять их на тот уровень, на котором эти данные будут расшифрованы. Этим можно воспользоваться при блокировании трафика.
В общем случае, для винды, нужно запустить монитор ресурсов и отследить, на какие порты и какие айпи и домены приложение отправляет трафик. Либо узнать эти порты и домены из описания приложения.
На роутере включить фаервол(не прокси, ктрорый проксирует порты, это немного не о том) и разрешить или запретить доступ на эти порты и/или домены. Наиболее параноидальным подходом является "белый список", когда запрещается выход в сеть всем, кроме программ работающих на явно прописанных портах

Comments

[Александр]

восьмиуровневая? это интересно...

[fpir]

Александр, да,действительно...