Я хочу заблокировать входящие подключения TeamViewer к моей сети, но в то же время разрешить исходящие подключения TeamViewer.
Таким образом, пользователи не могут подключаться к своим рабочим компьютерам с помощью телевизора (в обход аутентификации домена), но в то же время могут подключаться к клиентским компьютерам для решения проблем.
Это вообще возможно?
В традиционном брандмауэре заблокировать невозможно. Вам понадобится какой-нибудь анализатор пакетов.
Или вы можете создать объект групповой политики, который устанавливает следующий раздел реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ TeamViewer \ Version6 \ Security_AcceptIncoming REG_DWORD = 0
Это отключает входящие соединения.
Вы можете попробовать отключить входящие соединения на портах, которые использует Teamviewer. Я уверен, что телевизор использует следующие порты;
5938/tcp
80/tcp
а может также
443/tcp
5939/tcp
или, может быть, вы можете что-то сделать с URL-адресом, который телевизор использует для подключения.
*.teamviewer.*
*dyngate*
не знаю, нужны ли вам эти URL-адреса для исходящих соединений, но вы можете это проверить.
В большинстве случаев сетевые пути, используемые приложениями, асимметричны; то есть вы можете заблокировать соответствующий порт для входящего трафика, чтобы предотвратить входящие соединения, но разрешить уходу трафика на этом порту, чтобы разрешить исходящие.
Если вы работаете с компьютерами Windows, которые находятся в домене, вы можете использовать групповые политики Active Directory для настройки брандмауэра Windows на этих компьютерах для блокировки соответствующих входящих портов.
Однако в конкретном случае TeamViewer они предоставляют клиентскую программу, которую может запустить пользователь, которая подключается к серверам TeamViewer и направляет входящие соединения по этому пути; таким образом, входящего брандмауэра будет недостаточно. Вам также потребуется настроить правило (либо с брандмауэром Windows, либо где-либо еще в вашей сети), чтобы блокировать трафик, идущий на teamviewer.com, но тогда ваши пользователи не смогут использовать инструмент сами.
Короче говоря, я не думаю, что будет легко заблокировать приложение TeamViewer от приема входящих соединений, но при этом разрешить ему запускать исходящие. В этой ситуации я бы установил Wireshark на клиентском компьютере и профилируйте сетевой трафик, участвующий как во входящем соединении с прослушивающим клиентом, так и в исходящем соединении для работы на другом компьютере. Возможно, некоторые типы трафика будут отображаться только при входящем соединении, которое затем можно заблокировать с помощью брандмауэра Windows, чтобы эти соединения не работали.