|
Список адресов, которые надо открыть для доступа к Яндекс.Контесту
1. Предполагается, что DHCP и DNS обеспечивают местные сервера. Открываем
порты 67, 68, 53
2. Нужно открыть доступ к местному gateway' ю, но он НЕ должен делать
Network Address Translation (или фильтрация происходит ДО NAT)
Конкретные адреса зависят от местных условий. Также рекомендуется оставить
доступ к управлению самого места фильтрации трафика, чтобы её можно было
оперативно включить или выключить.
3. Доменные имена и ip-адреса необходимых сайтов:
official.contest.yandex.ru
official.contest.yandex.ru is an alias for contest.yandex.ru.
contest.yandex.ru has address 87.250.250.112
clck.yandex.ru
clck.yandex.ru has address 213.180.193.14
clck.yandex.ru has address 213.180.204.14
clck.yandex.ru has address 77.88.21.14
clck.yandex.ru has address 87.250.250.14
clck.yandex.ru has address 87.250.251.14
clck.yandex.ru has address 93.158.134.14
yastatic.net
yastatic.net has address 178.154.131.215
yastatic.net has address 178.154.131.216
yastatic.net has address 178.154.131.217
yandex.st
yandex.st has address 178.154.131.215
yandex.st has address 178.154.131.216
yandex.st has address 178.154.131.217
В качестве примера привожу Access Control List на управляемом свитче
Linksys SPS2024. Русский текст является комментариями, написанными поверх
ACL.
mipt-kpm-805(config-ip-al)# do show access-lists yandex
IP access list yandex
Имя, указание, что фильтрация идёт на 3 уровне ISO/OSI
permit udp any any any 67
permit udp any any any 68
permit udp any any any 53
permit udp any 53 any any
permit udp any 67 any any
permit udp any 68 any any
Разрешаем DHCP и DNS. Лишние DHCP-сервера в сети не появятся, так как
включён DHCP snooping. Фильтрацию можно обойти с помощью IP over DNS, но
мало кто из участников сможет им воспользоваться, а при отсутствии
root'овских/администраторских прав на клиентских машинах - не сможет
никто.
permit any any host 87.250.250.112
Разрешаем любой трафик, идущий от клиента на official.contest.yandex.ru
permit any any 10.55.0.0 0.0.255.255
Разрешаем местную сеть. Здесь местный маршрутизатор, сервер печати,
локальные сайты с объявлениями, доступ к управлению самим свитчом.
Обратите внимание, что управляемый свитч в описываемой конфигурации
фильтрует данные ДО NAT. Это позволяет сохранить полный доступ к самому
маршрутизатору извне, ограничив "белым списком" сайты из аудитории.
permit any any host 178.154.131.215
permit any any host 178.154.131.216
permit any any host 178.154.131.217
Это yandex.st и yandex.st
permit any any host 213.180.204.14
permit any any host 213.180.193.14
permit any any host 87.250.251.14
permit any any host 77.88.21.14
permit any any host 93.158.134.14
permit any any host 87.250.250.14
Это clck.yandex.ru
Назад в раздел