Как правильно настроить межсетевой экран (firewall) на устройстве Mikrotik, чтобы разрешить подключения к онлайн-собраниям только через приложение Zoom? 

В корпоративной сети для определённого отдела заблокированы все сайты. Как можно настроить так, чтобы сотрудники могли подключаться к конференциям в Zoom исключительно через приложение, при этом исключив возможность подключения через браузер?
  • 3 апреля 2025 г. 9:25
Ответы на вопрос 3 
Настройка межсетевого экрана (firewall) на устройстве MikroTik для ограничения доступа к интернет-ресурсам и разрешения подключения к онлайн-собраниям через приложение Zoom требует выполнения нескольких шагов. Вот пошаговая инструкция:

### Основные шаги:

1. **Создание адресного списка для Zoom**:
   - Сначала необходимо создать адресный список, который будет содержать IP-адреса, используемые серверами Zoom. Это можно сделать, используя следующую команду в CLI или через интерфейс Winbox.

   ```bash
   /ip firewall address-list
   add list=zoom addres=0.0.0.0/0 comment="Zoom Servers"
   ```

   Чтобы заполнить этот список, нужно найти актуальные IP-адреса, используемые Zoom. Их можно получить из документации или с помощью `nslookup`.

2. **Настройка правил firewall**:
   - Перейдите в раздел `/ip firewall filter` и добавьте следующие правила:

   ```bash
   /ip firewall filter
   ```

   - Разрешить доступ только к адресам Zoom:

   ```bash
   add chain=forward action=accept protocol=tcp dst-address-list=zoom
   ```

   - Запретить доступ к другим адресам:

   ```bash
   add chain=forward action=drop
   ```

3. **Настройка правил NAT (при необходимости)**:
   - Если у вас есть NAT, убедитесь, что он корректно настроен для обеспечивания доступа к интернету для приложения Zoom:

   ```bash
   /ip firewall nat
   add chain=srcnat action=masquerade out-interface=<interface-name>
   ```

   Замените `<interface-name>` на имя вашего интернет-интерфейса.

4. **Блокировка браузеров**:
   - Для того чтобы ограничить доступ только к приложению Zoom, можно блокировать HTTP и HTTPS трафик на портах 80 и 443. Добавьте следующие правила:

   ```bash
   /ip firewall filter
   add chain=forward action=drop protocol=tcp dst-port=80
   add chain=forward action=drop protocol=tcp dst-port=443
   ```

5. **Тестирование**:
   - После внесения изменений проверьте, что приложение Zoom может подключаться, а доступ через браузер ограничен.

### Важно:

- Убедитесь, что приложения Zoom могут устанавливать соединение через нужные порты. Приложение Zoom обычно использует порты 80 (HTTP) и 443 (HTTPS) для первоначальной авторизации и инициализации соединения, так что эти порты следует оставить открытыми, или предоставлять доступ к серверам Zoom.
  
- Также необходимо учитывать, что некоторые функции Zoom могут требовать открытие дополнительных портов (например, порты 8801-8810 для передачи данных VoIP). Эту информацию стоит уточнить в документации Zoom.

- Периодически обновляйте адресный список Zoom, так как IP адреса могут изменяться.

### Заключение
С помощью этих шагов вы сможете настроить межсетевой экран на MikroTik так, чтобы разрешить доступ к Zoom только через приложение и заблокировать доступ через браузер.
Это делается средствами NGFW или локальным фаерволом на каждом ПК. 
 MikroTik не сможет отличить на уровне L7 приложение zoom от браузера.
Если домены разные - то разрешить нужные… 
 Если одинаковые то никак
Похожие вопросы
    Показать ещё