Образование Архангельской области

Список адресов, которые надо открыть для доступа к Яндекс.Контесту

1. Предполагается, что DHCP и DNS  обеспечивают местные сервера. Открываем
порты 67, 68, 53

2. Нужно открыть доступ к местному gateway' ю, но он НЕ должен делать
Network Address Translation (или фильтрация происходит ДО NAT)
Конкретные адреса зависят от местных условий. Также рекомендуется оставить
доступ к управлению самого места фильтрации трафика, чтобы её можно было
оперативно включить или выключить.

3. Доменные имена и ip-адреса необходимых сайтов:
official.contest.yandex.ru
official.contest.yandex.ru is an alias for contest.yandex.ru.
contest.yandex.ru has address 87.250.250.112

clck.yandex.ru
clck.yandex.ru has address 213.180.193.14
clck.yandex.ru has address 213.180.204.14
clck.yandex.ru has address 77.88.21.14
clck.yandex.ru has address 87.250.250.14
clck.yandex.ru has address 87.250.251.14
clck.yandex.ru has address 93.158.134.14

yastatic.net
yastatic.net has address 178.154.131.215
yastatic.net has address 178.154.131.216
yastatic.net has address 178.154.131.217

 yandex.st
yandex.st has address 178.154.131.215
yandex.st has address 178.154.131.216
yandex.st has address 178.154.131.217


В качестве примера привожу Access Control List на управляемом свитче
Linksys SPS2024. Русский текст является комментариями, написанными поверх
ACL.

mipt-kpm-805(config-ip-al)# do show access-lists yandex
IP access list yandex
Имя, указание, что фильтрация идёт на 3 уровне ISO/OSI
    permit  udp any any any 67
    permit  udp any any any 68
    permit  udp any any any 53
    permit  udp any 53 any any
    permit  udp any 67 any any
    permit  udp any 68 any any
Разрешаем DHCP и DNS.  Лишние DHCP-сервера в сети не появятся, так как
включён DHCP snooping. Фильтрацию можно обойти с помощью IP over DNS, но
мало кто из участников сможет им воспользоваться, а при отсутствии
root'овских/администраторских прав на клиентских машинах - не сможет
никто.
    permit  any any host 87.250.250.112
Разрешаем любой трафик, идущий от клиента на official.contest.yandex.ru
    permit  any any 10.55.0.0 0.0.255.255
Разрешаем местную сеть. Здесь местный маршрутизатор, сервер печати,
локальные сайты с объявлениями, доступ к управлению самим свитчом.
Обратите внимание, что управляемый свитч в описываемой конфигурации
фильтрует данные ДО NAT. Это позволяет сохранить полный доступ к самому
маршрутизатору извне, ограничив "белым списком" сайты из аудитории.
    permit  any any host 178.154.131.215
    permit  any any host 178.154.131.216
    permit  any any host 178.154.131.217
Это yandex.st и yandex.st
    permit  any any host 213.180.204.14
    permit  any any host 213.180.193.14
    permit  any any host 87.250.251.14
    permit  any any host 77.88.21.14
    permit  any any host 93.158.134.14
    permit  any any host 87.250.250.14
Это clck.yandex.ru

Назад в раздел