Как заблокировать доступ к определенному IP
Иногда требуется заблокировать по каким-то причинам доступ к определенному IP-адресу, при этом, большинство пользователей ищет какой-нибудь другой способ, не обращая внимания на установленный у них антивирус с входящим в его состав персональным файерволом.
Так как у меня установлен ESET Smart Security буду писать в данной статье о нем, потом возможно появятся статьи и для других антивирусов.
Для настройки файервола, нам нужно открыть сам ESET Smart Security, после чего во вкладке “Настройка” включить расширенный режим.
Когда вы включите расширенные режим, у вас появятся дополнительные настройки, доступ к логам и служебным программам антивируса. Далее в той же вкладке находим и нажимаем ссылку “Персональный файервол”, после чего в самом низу нужно перейти еще по одной ссылке “Дополнительные настройки персонального файервола”, нажимаем на нее и попадаем в панель настройки.
После того как вы вошли в панель настройки антивируса так как написано ранее, вы должны находиться сразу там где нам и нужно, а именно в “Персональный файервол”, но если это не так находим и выбираем пункт «Персональный файервол», после чего режим фильтрации устанавливаем на “Автоматический режим с исключениями”.
После установки режима фильтрации, переходим в «Правила и зоны» вкладка всё также находится в группе «Персональный файервол». Затем в «Редактор зон и правил» нажимаем на кнопку “Настройка”.
Итак, мы почти уже подошли к тому, чтобы мы имели возможность фаерволом заблокировать ненужный IP-адрес. В открывшемся окне во вкладке правила нажимаем на кнопку “Создать”, там всего три кнопки, поэтому этап нажатия кнопки будет без картинки.
В окне «Новое правило» во вкладке “Общие” производим некоторые настройки. В поле “Имя” вводим название правила (может быть любым). Направление выбираем из списка “Любое”. Действие выбираем из списка “Запретить”. Если протокол стоит не “TCP & UDP”, хотя по умолчанию должен быть именно он, нажимаем “выбрать протокол” и в открывшемся окошке выбираем TCP.
Затем переходим на вкладку “Удаленный” где уже и добавим IP-адреса, которые мы и хотим заблокировать. Нажимаем на кнопку «Добавить адрес IPv4».
Далее мы указываем тип “Отдельный адрес”, в поле адрес вписываем IP-адрес, который мы блокируем и нажимаем ОК (Если нужно добавить несколько адресов, делается все точно также).
Возвращаемся в окно «Новое правило» где на вкладке «Удаленный» можно еще раз убедиться, что блокируемый IP-адрес вписан правильно, после чего снова нажимаем кнопку «ОК». Чтобы сохранить измененные настройки файервола снова жмем кнопку «ОК» в окне «Настройка зон и правил».
В результате выполненных действий при помощи ESET Smart Security Вы заблокировали заданные IP-адреса.
Как заблокировать IP адреса через ufw / ua-hosting.company corporate blog / Habr
В статье описано, как заблокировать конкретные IP адреса через ufw.UFW (Uncomplicated Firewall) — стандартная утилита для конфигурирования межсетевого экрана iptables для ОС Ubuntu Linux. Она использует интерфейс командной строки, состоящий из небольшого числа простых команд. UFW — это удобный способ создания базового брандмауэра IPv4 или IPv6, чтобы защитить сервер.
Блокировка определенных IP адресов через ufw
Синтаксис:
sudo ufw deny from {ip-address-here} to any
Для блокировки или закрытия всех пакетов с 192.168.1.5, вводим:
sudo ufw deny from 192.168.1.5 to any
Показываем статус фаервола включая правила. Для проверки недавно добавленных правил, вводим:
$ sudo ufw status numbered
или
$ sudo ufw status
Блокировка определенных IP и номера порта через ufw
Синтаксис:
ufw deny from {ip-address-here} to any port {port-number-here}
Для блокировки или закрытия «спамерских» IP адресов 202.54.1.5 порта 80, вводим:
sudo ufw deny from 202.54.1.5 to any port 80
Заново проверяем посредством следующей команды:
$ sudo ufw status numbered
Результат:
Закрытие определенных IP, номеров портов и протоколов через ufw
Синтаксис:
sudo ufw deny proto {tcp|udp} from {ip-address-here} to any port {port-number-here}
Для примера блокировка вредоносных IP адресов 202.54.1.1 tcp порта 22, вводим:
$ sudo ufw deny proto tcp from 202.54.1.1 to any port 22
$ sudo ufw status numbered
Блокировка подсети через ufw. Синтаксис тот же:
$ sudo ufw deny proto tcp from sub/net to any port 22 $ sudo ufw deny proto tcp from 202.54.1.0/24 to any port 22
Как удалить блокировку и разблокировать IP адресов
Ситаксис:
$ sudo ufw status numbered
$ sudo ufw delete NUM
Для удаления правила # 4, вводим:
$ sudo ufw delete 4
Результат:
deny from 202.54.1.5 to any port 80
Proceed with operation (y|n)? y
Rule deleted
Подсказка: UFW, НЕ блокирующий IP-адрес
Чтобы избежать лишних проблем с ненужной блокировкой, необходимо изменить the/etc/ufw/before.rules файл и добавить раздел “Block an IP Address” после “# End required lines”.
$ sudo vi /etc/ufw/before.rules
# End required lines
Добавьте свое правило для блока от спама или хакеров:
Сохраните и закройте файл. И — перезагрузите брандмауэр:
$ sudo ufw reload
Блокировка IP-адреса в Windows Server / Ёлпер
Иногда может возникнуть необходимость ограничить доступ к серверу. Например, при атаках на сервер, флуде и попытках подбора пароля. Ограничить доступ можно при помощи блокировки IP-адреса или группы адресов. Существует несколько способов ограничения доступа по IP. В данном ёлпере показан способ блокировки IP-адресов при помощи локальных параметров безопасности (Local Security Policy) на примере Windows Server 2003.
Внимание! Следует проявлять осторожность при удаленном создании правил блокировки доступа к серверу по IP! Не заблокируйте случайно себя 😉Откройте раздел управления локальной политикой безопасности (Local Security Policy). Для этого нажмите меню Пуск => Администрирование (Administrative Tools) => Локальная политика безопасности (Local Security Policy).
В появившемся окне кликните правой кнопкой мышки по ветке «Политика безопасности IP на локальном компьютере» (IP Security Polices On Local Computer). В контекстном меню выберите
Запустится мастер создания новой политики безопасности. Нажмите «Далее» (Next).
На следующем шаге укажите название новой политики. Например «Блокировка нежелательных IP-адресов». Описание указывать необязательно. Нажмите «Далее» (Next).
Затем снимите опцию «Активировать правило по умолчанию» (Activate the default response rule) и нажмите «Далее» (Next).
На последнем шаге оставьте все как есть и нажмите на кнопку «Готово» (Finish).
Откроется окошко свойств созданной политики. На вкладке «Правила» (Rules), снимите опцию «Использовать мастер»
Появится окошко «Параметры нового правила» (New Rule Properties). На вкладке «Фильтр IP-адресов» (IP Filter List) нажмите на кнопку «Добавить» (Add).
В появившемся окне, в поле «Название» (Name) введите имя группы блокируемых IP-адресов. Например: «Блокировка атаки». Снимите опцию «Использовать мастер» (Use Add Wizard) и нажмите на кнопку «Добавить» (Add).
В окне свойств фильтра IP, на вкладке «Адреса» (Addresses) в разделе «Источник» (Source address) оставьте «Мой IP-адресс» (My IP Address).
В разделе
Опцию «Зеркально» (Mirrored) оставьте включенной.
На вкладке «Протокол» (Protocol) можно выбрать протокол, для которого будет действовать фильтр. По умолчанию фильтр будет использоваться для всех протоколов.
На вкладке «Описание» (Description) можно указать описание фильтра. Это описание будет использоваться в списке фильтров, чтобы вам потом было проще найти фильтр. Лучше всего в качестве описания указывать блокируемый IP-адрес.
Нажмите на кнопку «Ok», чтобы создать фильтр. Вы вернетесь в окно «Список IP фильтров»
Нажмите на кнопку «Ok», чтобы закрыть список IP-фильтров. Вы вернетесь в окно «Параметры нового правила» (New Rule Properties). В списке списков фильтров IP появится только что созданный список. Выберите его.
Перейдите на вкладку «Действия» (Filter Action). Снимите опцию «Использовать мастер» (Use Add Wizard) и нажмите на кнопку «Добавить» (Add).
В появившемся окне на вкладке «Защита» (Security Methods) установите опцию «Блокировка» (Block).
Перейдите на вкладку «Общее» (General) и в поле «Название» (Name) укажите имя действия. Например:
Нажмите на кнопку «Ok». В списке действий появится только что созданное действие. Выберите его.
Нажмите на кнопку «Ok».
Все, политика создана. Чтобы активировать ее, кликните правой кнопкой мышки по имени политики и в контекстном меню выберите «Активировать» (Assign).
Аналогично, через контекстное меню, можно отключить созданную политику.
В свойства созданной политики можно легко добавлять нежелательные IP-адреса.
Удачи!
Как заблокировать ip в iptables
При работе в любой сети передачи данных, например, локальной вычислительной сети (ЛВС), сети Интернет, часто возникает необходимость ограничить доступ какого-то конкретного узла к другому узлу сети, или конкретного узла ко всем компьютерам, находящимся под вашим управлением. Каждый компьютер, использующий при обмене данными протокол IPv4 или IPv6, имеет уникальный, в определенных рамках, номер.
Этот номер называется IP адресом. Мы рассмотрим в нашей статье блокировку IP-адреса IPv4 для ограничения доступа узла с данным идентификатором к определенному компьютеру, на котором мы настраиваем правила брандмауэра Netfilter с помощью пакета iptables. В прошлых статьях мы изучили возможность просматривать настроенные правила, закрывать и открывать порты. Теперь займёмся блокированием нежелательных для нас участников сетевого обмена информацией.
Содержание статьи:
Как заблокировать ip с помощью iptables
1. Как заблокировать конкретный IP
Для блокирования IP адреса используются действия DROP и REJECT. Рассмотрим общий синтаксис действия по блокированию.
sudo iptables [-t таблица] -A [цепочка] -s [IP адрес/маска] -d [IP адрес/маска] -j [действие]
Опции утилиты:
- -s [IP адрес/маска] — IP адрес источника пакета, к которому мы хотим применить действие;
- -d [IP адрес/маска] — IP адрес получателя пакета, к которому мы хотим применить действие.
Например, вот это правило чтобы запретить ip iptables блокирует все входящие на защищаемую машину пакеты от узла, с IP адресом 8.8.8.8. При этом следует заметить, что узел источник пакетов при использовании действия DROP не получит никакой ответной информации от защищаемого узла. Для него всё будет выглядеть так, как будто данный узел в данный момент отсутствует в сети.
sudo iptables -t filter -A INPUT -s 8.8.8.8/32 -j DROP
Есть второе действие для блокирования всех пакетов от конкретного узла или к конкретному узлу — это REJECT. Данное действие предусматривает при блокировании пакета отправку служебной информации источнику пакета о выполнении блокировки. То есть в данном случае узел отправитель будет уведомлен, что пакет был заблокирован Netfilter. В данном случае чтобы заблокировать ip iptables надо выполнить:
sudo iptables -t filter -A INPUT -s 8.8.8.8/32 -j REJECT
Следует отметить, что, как в случае с портами, существует возможность блокирования исходящего трафика и входящего трафика. То есть, если мы хотим заблокировать доступ конкретного узла сети к нашей машине, то мы блокируем входящий трафик:
sudo iptables -t filter -A INPUT -s 8.8.4.4/32 -j REJECT
Если же мы захотим заблокировать доступ нашего компьютера к конкретному узлу в сети, например, Интернет, то мы блокируем исходящий трафик:
sudo iptables -t filter -A OUTPUT -d 8.8.8.8/32 -j REJECT
2. Как заблокировать подсеть iptables?
Блокирование конкретного адреса это частный случай блокирования подсети. Подсеть — это строго ограниченная часть всего пространства IP адресов, используемая для адресации определенного подмножества всех компьютеров глобальной сети. Подсеть задается маской. Маска может быть задана в виде четырех, разделенных точками, чисел или в виде одного числа. Например: 255.255.255.0 — это маска посети, и /24 — маска подсети. При чем это одинаковые маски, просто записанные в разной форме.
Не будем вдаваться в значение маски, это информация для отдельной статьи. Отметим только, что все множество адресов IPv4 разбито на сети, сети имеют классы, которые задают количество адресов в сетях, и их практическое назначение. А сети, в свою очередь разбиваются на подсети, для отдельных организаций и частных лиц. И сеть, и подсеть задаются с помощью маски сети. Теперь давайте рассмотрим как забанить диапазон ip адресов iptables.
Так вот, например, если мы хотим заблокировать доступ к конкретной организации, подмножество адресов которой мы знаем, мы сделаем это с помощью известного нам адреса сети (подсети) и маски. Правило блокировки будет выглядеть следующим образом:
sudo iptables -t filter -A INPUT -s 8.0.0.0/9 -j DROP
В данном случае мы заблокировали подсеть адресов диапазона 8.0.0.0 — 8.127.255.255. Другой вариант маски будет выглядеть так:
sudo iptables -t filter -A INPUT -s 8.0.0.0/255.128.0.0 -j DROP
Стоить заметить, что всё множество адресов IPv4 разбито на подмножества по отдельным регионам мира. Поэтому существует возможность блокировать доступ отдельных регионов мира с помощью блокирования IP сетей. Ведет выдачу IP сетей и протоколирование выданных блоков адресов организация IANA. По ссылке мы можем отследить выданные блоки и заблокировать нужные нам, как отдельные подсети. Например, это правило блокирует сеть, выданную европейскому региону:
sudo iptables -t filter -A INPUT -s 2.0.0.0/255.0.0.0 -j DROP
3. Как заблокировать IP сетевом интерфейсе?
Обычно у компьютера один физический интерфейс подключения. Но, бывают случаи, когда в защищаемом устройстве присутствуют несколько сетевых интерфейсов, подключенных к разным сетям, или к одной сети, но разными путями (протоколами, маршрутами, организациями). В таком случае часто бывает нужна блокировка ip iptables с определенного интерфейса. Правило блокирования в этом случае будет выглядеть так:
sudo iptables [-t таблица] -A INPUT -i [имя интерфейса входа] -s [IP адрес/маска] -d [IP адрес/маска] -j [действие]
Для входящего сетевого интерфейса:
sudo iptables [-t таблица] -A OUTPUT -o [имя интерфейса выхода] -s [IP адрес/маска] -d [IP адрес/маска] -j [действие]
Для исходящего сетевого интерфейса. В частном случае входящий и исходящий интерфейс один и тот же.
Например, чтобы заблокировать все пакеты от IP адреса 8.8.8.8, поступающие нам с интерфейса enp0s3, можно использовать правило:
sudo iptables -t filter -A INPUT -i enp0s3 -s 8.8.8.8/32 -j DROP
Чтобы заблокировать все пакеты, уходящие к машине с IP адресом 8.8.8.8, с нашего узла через интерфейс enp0s3 следует использовать правило:
sudo iptables -t filter -A OUTPUT -o enp0s3 -d 8.8.8.8/32 -j DROP
Как узнать доступные сетевые интерфейсы и их параметры можно в статье настройка сети из консоли в Ubuntu.
4. Как разблокировать IP адрес?
По умолчанию в межсетевом экране Netfilters используется действие ACCEPT для всех таблиц и цепочек. Поэтому, чтобы заблокировать IP адрес, необходимо добавить правило с действием DROP, что мы рассмотрели выше. Соответственно, чтобы разблокировать адрес, необходимо удалить уже установленное правило. Как удалить уже написанное правило мы рассмотрели в статье как удалить правило iptables.
Также для того, чтобы ограничить доступ к компьютеру более строго, мы можем заменить правило по умолчанию ACCEPT на правило DROP или REJECT с помощью команды
sudo iptables -t [таблица] -P [цепочка] [действие]
Например, следующая команда установит правило по умолчанию для таблицы filter цепочки INPUT действие по умолчанию -отбрасывать пакеты:
sudo iptables -t filter -P INPUT DROP
В таком случае, чтобы разблокировать IP iptables адрес, необходимо будет задать правило для данного IP адреса с действием ACCEPT:
sudo iptables -t filter -A INPUT -i enp0s3 -s 8.8.8.8/32 -j ACCEPT
Выводы
Итак, мы сегодня обсудили как заблокировать ip iptables или же целую подсеть адресов. Данная операция необходима, чтобы запретить доступ внешнего узла в сети к нашему компьютеру. Также у нас есть в арсенале два действия для таких правил — одно, DROP, заставит удаленную машину думать, что наш узел в данный момент вообще отсутствует в сети, а другое, REJECT, позволит удаленному узлу понять, что пакет был отброшен из-за правил межсетевого экрана.
Также мы рассмотрели возможность блокирования пакетов на конкретном интерфейсе компьютера, что позволяет писать очень гибкие правила, имея в наличии несколько сетевых интерфейсов, подключенных к разным сегментам сети.
Как скрыть свой IP-адрес, чтобы избежать хакерских атак и отслеживания
Каждому устройству, подключенному к интернету, присваивается уникальный IP-адрес. Это строка, состоящая из цифр и десятичных знаков, которая позволяет различным устройствам идентифицироваться и связываться друг с другом.
Государственные учреждения, корпорации, хакеры и тролли могут использовать IP-адреса для отслеживания конкретных людей. Наиболее эффективным способом изменения IP является использование VPN.
IP-адреса разбиты на кластеры конкретной страны, которые разделяются и передаются провайдерам. Они также могут быть разбиты по идентификатору местоположения города. Таким образом, сайты и приложения могут определять источник входящего трафика.
VPN предназначена для шифрования веб-трафика, поступающего на ваше устройство и отправляющегося обратно, а также его туннелирования через выбранный сервер. С практической точки зрения это выглядит так, будто вы подключаетесь к всемирной паутине из другого места.
VPN также затрудняет мониторинг вашего поведения в интернете и позволяет разблокировать огромное количество контента с ограничениями доступа.
Регистрация и использование VPN для скрытия своего IP-адреса легально практически во всех странах.
В этом разделе мы рассмотрим некоторые VPN, которые маскируют IP-адрес. Они оцениваются по следующим критериям:
- Скорость и стабильность обслуживания.
- Количество серверов по всему миру.
- Надежные стандарты шифрования.
- Возможность разблокирования различного контента.
- Приложения для Android и iOS.
- Простота использования.
1. ExpressVPN
Компания использует более 1500 серверов, расположенных в 94 странах мира.
ExpressVPN не сохраняет журналы трафика. Единственная информация, которую он извлекает, связана с датой соединения, выбором местоположения сервера и пропускной способностью канала.
ExpressVPN использует 256-битный AES-CBC стандарт шифрования и аутентификацию HMAC.
Сервис доступен в виде приложений для Android и iOS, а также для Windows и MacOS.Предоставляемый тариф включает в себя 30-дневную гарантию возврата средств.
2. NordVPN
Этот провайдер работает уже более 10 лет и является популярным среди пользователей благодаря своим функциям, цене, производительности и безопасности.
Компания строго соблюдает политику нулевых журналов. Это означает, что не ведется никаких внутренних записей сеансов пользователей, трафика или временных меток.
NordVPN управляет 1850 серверами в 61 стране мира. Существует огромный выбор серверов в Европе и Северной Америке, а также относительно небольшая сеть в Азии, Африке и на Ближнем Востоке.
Серверы предоставляются в соответствии со специфичностью. Некоторые из них подходят для более строгого шифрования, такого как анти-DDoS и двойной VPN. Другие лучше оснащены для потоковой передачи видео и сервисов, для которых требуется выделенный IP.
Протокол 256-битного шифрования AES используется по умолчанию в сочетании с 2048-битными ключами SSL. Защита от утечки DNS включена.
Сервис доступен в виде приложения для Android, iOS, а также для настольных ПК под управлением Windows и MacOS.
3. IPVanish
Штаб-квартира компании находится в США.Но сервис не требует регистрации, поэтому ваши личные данные не подвергаются какому-либо риску.
Сервис предоставляет на выбор 850 серверов, которые расположены в 60 странах.
По умолчанию IPVanish использует256-битное шифрование по протоколу OpenVPN, аутентификацию SHA512 и обмен ключами DHE-RSA 2,048 бит с полной прямой секретностью. Это означает, что даже если ваша учетная запись будет взломана, хакеры не смогут расшифровать данные сеанса.
IPVanish не работает с Netflix или Hulu, но является надежным выбором для BBC iPlayer.
Сервис доступен в виде приложений для iOS, Android, Windows и MacOS.
4. Cyberghost
Cyberghost Pro заявляет, что он не записывает поведение пользователей. Расположение в Бухаресте также означает, что компания не подпадает под действие законов о сохранении данных. Это должно облегчить решение проблем с конфиденциальностью.
На данный момент в 47 странах сервис использует более 1100 серверов, и их количество будет увеличиваться.
VPN доступен в виде приложений для Android, iOS, Windows и MacOS.
Этот VPN не работает с Netflix, но позволяет разблокировать доступ к BBC iPlayer.
Cyberghost Pro по умолчанию использует256-битное шифрование AES по протоколу OpenVPN совместно с 2048-битными ключами RSA и аутентификацией HMAC MD5.
5. VyprVPN
VyprVPN сохраняет некоторые данные: IP-адрес источника пользователя, IP-адрес VyprVPN, время начала и окончания соединения и общее количество используемых байтов.
Одновременно с этим компания настаивает на том, что она хранит перечисленную выше информацию только в течение 30 дней и использует ее для улучшения сервиса. Мы не нашли никаких жалоб от его пользователей, которые считают, что их конфиденциальность была нарушена.
VyprVPN — популярный выбор в Китае, поскольку он позволяет обойти Great Firewall. Все соединения шифруются по протоколу OpenVPN, 256-битным AES-шифрованием, 2048-битными ключами RSA без полной прямой секретности и с аутентификацией SHA256.
Премиум-пакет сервиса позволяет получить доступ к протоколу Chameleon ™, который скремблирует метаданные OpenVPN, поэтому глубокая инспекция пакетов не может его распознать.
VyprVPN позволяет разблокировать контент Netflix, Hulu и BBC iPlayer. Он предоставляет более 700 серверов, расположенных по всему миру.
Сервис VPN реализован в виде приложений для Android, так и для iOS, Windows и MacOS.
Бесплатные VPN выглядят привлекательно, потому что не требуют наличия банковской карты для регистрации. Но многие из них используют ненадежные способы шифрования данных.
Бесплатные VPN обычно предлагают на выбор один или два сервера, к которым можно подключиться. Они также регулярно участвуют в дросселировании канала и накладывают ограничения на объем переданных данных.
Наша рекомендация – избегайте использования бесплатных VPN. Большая часть из них монетизирует свои сервисы, используя модули отслеживания и продавая данные о своих пользователях сторонним рекламодателям.
Выполните действия, приведенные в этом разделе, чтобы скрыть свой IP-адрес:
- Просмотрите список рекомендованных VPN-сервисов и выберите тарифный план.
- Зарегистрируйтесь на сайте сервиса и оплатите услугу. Большинство VPN принимают к оплате банковские карты и PayPal, а существенно меньшее количество — биткоин.
- Загрузите нужный вариант приложения.
- Очистите файлы cookie и кеш во всех используемых браузерах, чтобы удалить старые идентификаторы местоположения.
- Перезагрузите свое устройство.
- Откройте программное обеспечение, предоставляемое VPN-сервисом, и войдите в систему.
- Выберите сервер из страны, в которой вы хотите получить IP-адрес. Подождите несколько секунд.
- Когда соединение будет установлено, на панели задач появится зеленый значок уведомления.
- Обратите внимание на то, что веб-узлы будут предполагать, что ваше местоположение находится в стране, через которую вы подключены в текущий момент.
Большинство VPN-сервисов назначают всем пользователям, подключенным к одному серверу, «общий» IP-адрес. Это еще больше затрудняет отслеживание активности каждого конкретного пользователя.
VPN также используют «динамические» IP-адреса. Это означает, что каждый IP изменяется с заданным интервалом времени. Некоторые провайдеры также позволяют своим пользователям самостоятельно определять, как часто они хотят изменять свой IP.
Другие типы IP-адресов, предоставляемых VPN-сервисами, которые менее распространены:
Выделенные IP никогда не меняются и используются только одной стороной. Они чаще встречаются среди корпоративных VPN. Статические IP-адреса не меняются, а распределяются между пользователями. Они могут использоваться для онлайн-банкинга, когда требуется вход в систему с одного и того же IP-адреса сразу для нескольких сеансов.
Утечки DNS возникают, когда параметры конфигурации сети не оптимизированы. Это приводит к тому, что трафик «просачивается» из защищенного, зашифрованного туннеля, созданного вашим VPN- провайдером.
VPN работают путем маршрутизации веб-трафика по альтернативным, зашифрованным каналам. Когда настройки неверны, DNS-запросы могут быть перенаправлены по незащищенной сети, а не по VPN.
DNS-запросы являются основой вашей веб-активности: так, как компьютеры переводят имена хостов (например, gmail.com) в IP-адрес.
Когда происходит утечка DNS, и веб-трафик выпадает из зашифрованного туннеля, интернет-провайдер может видеть, какие сайты вы посещаете. Простого подключения к VPN недостаточно.
Некоторые VPN-сервисы предоставляют автоматическую защиту от утечки DNS.
К сожалению, маскировки IP-адреса недостаточно, чтобы оставаться полностью скрытым и анонимным. Большинство людей не понимает, что их «цифровые следы» остаются повсеместно.
Более совершенная техника идентификации пользователей называется отпечатком пальца браузера. Вы можете представить себе это, как будто правоохранительные органы собирают данные на месте преступления. Независимо от того, какие данные собраны, они сопоставляются с существующими базами, чтобы помочь обвинить преступника.
Мы рекомендуем VPN для людей, которые пытаются изменить свое местоположение, чтобы получить доступ к таким ресурсам, как медиа, банковские сервисы, VoIP-звонки и другие локализованные службы.
Браузер Tor является еще одним способом маскировки IP-адреса. Он шифрует трафик пользователей так же, как и VPN. Но при этом отсутствует поставщик услуг, который помогает организовать поток трафика. В сети Tor трафик маршрутизируется через несколько точек выхода или «узлов», предоставляемых добровольцами.
Маршрут изменяется каждый раз, когда отправляется запрос к новому сайту, что делает отслеживание пользователей почти невозможным. Данный вариант отлично подходит для обеспечения анонимности. Недостатком является то, что трафик, проходящий через сеть Tor, очень медленный.
Одна из самых популярных причин, почему люди предпочитают менять свои IP-адреса — это обход блокировки потоковых сервисов. Таких, как Netflix, ESPN, Hulu и BBC iPlayer.
Также многие делают это чтобы обойти блокировку таких ресурсов, как Facebook, Snapchat и Twitter, на рабочем месте или в их стране.
Как уже упоминалось, IP-адреса используются как идентификаторы местоположения. Это означает, что правительства и провайдеры интернет-услуг могут определить приблизительную географию пользователя. Это не очень хорошо для тех, кто хочет оставаться полностью анонимными при работе в интернете.
Данная публикация представляет собой перевод статьи «How to change or hide your IP address to avoid hacker, ISP and government snooping» , подготовленной дружной командой проекта Интернет-технологии.ру
Блокировка удаленного IP адреса средствами брандмауэра Windows 2008 R2 (в картинках)
1. Запускаем брандмауэр
2.Создаем правило для входящих подключений
3. Устанавливаем тип правила
4.Указуем для каких программ будет блокироваться доступ с удаленного IP адреса (в нашем случае для всех программ)
5. Установка протокола и порта блокировки (в нашем случае все протоколы и все порта)
6. На этом этапе указываем ip или диапазон ip адресов которые нужно заблокировать.
7. Выбираем пункт — Блокировать подключения
8.Выбираем профили к которым будет применяться данное правило (в нашем случае выбираем все профили)
9.Вводим имя правила
10. Правило блокируещее подключения с удаленного IP адреса создано.
Вот в принципе и все :)
Как заблокировать доступ к сайту в Windows с помощью PowerShell
Рассмотрим несколько способов, которые помогут вам запретить доступ к отдельным сайтам, URL и IP адресам в Windows без использования сторонних программ. Обычно блокировку сайтов наиболее эффективно настраивать на уровне сетевого шлюза (роутер, маршрутизатор, Wi-Fi точка доступа, через которую вы выходите в Интернет), или с помощью стороннего ПО (фильтры контента, DNS фильтры и т.д.). В нашем случае мы попробуем заблокировать определенный сайт с помощью встроенных средств Windows 10 и автоматизации PowerShell.
Блокировка сайтов в Windows с помощью файла hosts
Самый известный способ заблокировать определенный сайт в Windows – отредактировать файл hosts. Обычно файл находится в каталоге %windir%\system32\drivers\etc\. Обратите внимание, что у файла hosts нет расширения.
Путь к каталогу с файлом hosts задается в параметре DataBasePath в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. По-умолчанию это %SystemRoot%\System32\drivers\etc.
Файл hosts используется для ручного назначения соответствий между IP адресами и DNS именами. При выполнении разрешении имен файл hosts имеет приоритет над DNS серверами, указанными в настройках сетевых подключений,
Чтобы заблокировать определенный сайт (например, ok.ru), откройте на редактирование файл hosts (с правами администратора) и добавьте в него строки вида:
127.0.0.1 ok.ru
127.0.0.1 www.ok.ru
Сохраните файл и перезагрузите компьютер (или очистите DNS кэш командой: ipconfig /flushdns).
После этого при попытке открыть сайт ok.ru в любом браузере будет появляется сообщение “Страница не найдена” / “Страница не доступна”.
Вы можете добавлять новые строки с URL сайтов в файл hosts с помощью такого bat файла:
@echo off
set hostspath=%windir%\System32\drivers\etc\hosts
echo 127.0.0.1 www.facebook.com >> %hostspath%
echo 127.0.0.1 facebook.com >> %hostspath%
exit
Либо можно воспользоваться следующими PowerShell функциями для автоматизации блокировки (разблокировки) определенных сайтов в списке запрещенных доменов в файле hosts.
Function BlockSiteHosts ( [Parameter(Mandatory=$true)]$Url) {
$hosts = 'C:\Windows\System32\drivers\etc\hosts'
$is_blocked = Get-Content -Path $hosts |
Select-String -Pattern ([regex]::Escape($Url))
If(-not $is_blocked) {
$hoststr="127.0.0.1 ” + $Url
Add-Content -Path $hosts -Value $hoststr
}
}
Function UnBlockSiteHosts ( [Parameter(Mandatory=$true)]$Url) {
$hosts = 'C:\Windows\System32\drivers\etc\hosts'
$is_blocked = Get-Content -Path $hosts |
Select-String -Pattern ([regex]::Escape($Url))
If($is_blocked) {
$newhosts = Get-Content -Path $hosts |
Where-Object {
$_ -notmatch ([regex]::Escape($Url))
}
Set-Content -Path $hosts -Value $newhosts
}
}
Теперь чтобы добавить определенный сайт в заблокированные достаточно выполнить функцию:
BlockSiteHosts ("vk.com")
Чтобы разблокировать сайт запустите:
UnBlockSiteHosts ("vk.com")
Блокировка сайтов через DNS
Если ваши клиенты пользуются одним DNS сервером, вы можете аналогичным образом заблокировать определенный сайты с помощью создания DNS записи в этом DNS, указывающей на 127.0.0.1 (или что-то в таком роде). По такому принципу, кстати, работают большинство коммерческих контент фильтров DNS (OpenDNS, SkyDNS, Яндекс.DNS и т.д.).
Блокируем IP адрес сайта в брандмауэре Windows
Также вы можете заблокировать определенные сайты с помощью встроенного Windows Firewall. Главный недостаток такого метода – вы не сможете использовать имя домена или сайта в правиле блокировке. Брандмауэр Windows в качестве источника/назначения позволяет указать только IP адрес или подсеть.
Сначала нужно определить IP адрес сайта, который вы хотите заблокировать. Проше всего это сделать командой nslookup.
nslookup ok.ru
Как вы видите в результатах команды присутствует несколько IP адресов, которые назначены сайту. Вам нужно заблокировать их все.
Теперь нужно запустить панель настройки Windows Firewall (Панель управления \Все элементы панели управления\Брандмауэр Защитника Windows\Дополнительные параметры или firewall.cpl).
В секции “Правила для исходящих подключений” создайте новое правило со следующими параметрами: 
- Тип правила: Настраиваемые;
- Программа: Все программы;
- Тип протокола: Любой;
- Область: в секции “Укажите удаленные IP адреса, к которым применяется данное правило” выберите пункт “Указанные IP адреса” -> Добавить. В открывшемся окне укажите IP адреса, IP подсети или диапазон IP адресов сайтов, которые нужно заблокировать.
Нажмите OK-> Далее -> Действие: “Блокировать подключение”.
В окне со списком профилей брандмауэра, к которым применяется это правило оставьте все опции. Осталось указать имя правила и сохранить его.
После этого Брандмауэр Защитника Windows будет блокировать все соединения с данным сайтом. В браузере при подключении к заблокированному сайту будет появляться ошибка:
Unable to connect
или
Доступ в Интернет закрыт
Возможно, подключение заблокирована брандмауэром или антивирусным ПО.
ERR_NETWORK_ACCESS_DENIED
В домене AD вы можете распространить на компьютеры пользователей политику блокирующую сайт с помощью GPO. Но еще раз скажем, это нецелесообразно. Фильтровать сайты правильнее на шлюзе доступа в Интернет.
PowerShell: правила блокировки сайтов по имени и IP адресу в брандмауэре Windows
Вы также можете с помощью PowerShell создать правило брандмауэра, блокирующее исходящие подключения к определенному сайту:
New-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress 217.20.147.1, 217.20.141.0/26
Строка “ The rule was parsed successfully from the store” говорит о том, что правило новое правило брандмауэра успешно применено. Вы можете найти его в графическом интерфейсе Windows Firewall.
Чтобы не резолвить имя сайта в IP адреса вручную можно использовать PowerShell командлет Resolve-DnsName для получения IP адресов сайтов.
Resolve-DnsName "ok.ru"| Select-Object -ExpandProperty IPAddress
Таким образом мы можем преобразовать имя домена в IP адреса и сразу добавить запрещающее правило для блокирования доступа к сайту:
$IPAddress = Resolve-DnsName "ok.ru"| Select-Object -ExpandProperty IPAddressNew-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress
Получается, что теперь вы можете добавить запрещающее правило в Windows Firewall сразу для нескольких сайтов:
$SitesToBlock = “lenta.ru”,”mail.ru”,”facebook.com”
$IPAddress = $SitesToBlock | Resolve-DnsName -NoHostsFile | Select-Object -ExpandProperty IPAddress
New-NetFirewallRule -DisplayName "Block Web Sites" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress
У командлета Resolve-DnsName я добавил параметр –NoHostsFile, чтобы не использовать при проверке файл hosts.
Проверим, что блокирующее правило для исходящего появилось в консоли.
Эта статья прежде всего разминка для ума. В корпоративной сети для ограничения доступа к сайтам нужно использовать фильтрацию на уровне шлюза доступа в интернет или прокси-сервере. Блокировка доступа на уровне хостов не столь эффективна.