Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Пожалуйста.

Очень изящное решение.
Потому и стал сразу проверять работоспособность,
что понравился сам принцип - одна строка в файерволе и вуаля.
Спасибо за подсказку. Будем использовать.


Проблему думаю можно считать на этом решенной.


MishGUN
Сообщения: 1
Зарегистрирован: 04 апр 2012, 13:09

Запреты на сайты, файлы с определёнными разрешениями, разделы сайта (через patch), сделал ))) всё отлично ))) как только сделать запрет на весь интернет, определённым IP адресам, кроме нужных сайтов или только что бы антивир Касперский мог базы обновлять. :?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

А наоборот

разрешаем нужное по 80 порту tcp через адресс лист Allow_adresses


запрещяем все остальное

--------
Или другой метод - заворачиваем все на проки

и там уже разрешаем нужное и запрещаем все остальное


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Что-то надо делать со спамом, может капчу введете? И зарезать их по айпишнику на хрен. Наверняка бот, зараза.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

ДА, согласен, задолбали уже спамеры.

Но что делать - приходится чистить

как появится время - введем капчу и прикрутим модуль от стопфорумспам.ком


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

iSupport, простая проверка типа:
Выберите правильный цвет: Красный, Зелёный, Синий, Жёлтый.
Даёт 99,9% защиту от спама, на себе проверено ;) и заморочки на пол часа. ;)

Сори за оффтоп)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Красный, Зелёный, Синий, Жёлтый - это очень слабая защита.

Во первых очень быстро пишется скрипт, который может проанализировать цвет любого слова.

Во-вторых - Вероятность случайного верного попадания целых 25%.

Т.е. кажда 4-я попытка будет успешной.
Для бота это тоже вовсе не проблема.

Уж надежнее тогда капча из 1 символа ... Там вероятность попадания 2%

У ботов есть место слабое.
Они парсят страницу. Но выполнять javascript-ы со страницы не умеют.
Это защита, которая не требует от пользователя никаких действий.

Есть метод ставить ловушки для ботов - в виде невидимых полей и кнопок.
Юзер их не увидит, а бот 99% заполнит это поле.

Боты никогда не возвращают разрешение экрана юзера по запросу с javascript.
Да и вообще бот не ответит ни на один запрос javascript.

Боты часто выдают неправильный User-Agent или header запроса.

Боты загружают только одну страницу-жертву.
А весь контент со страницы (картинки - кроме капч, css, js файлы) они не грузят.
А браузеры обычных людей - грузят все.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

sontrava, не скажите...
99% ботоводов являются школьниками, которые и запускают бота по ролику в ютубе. И как следствие у них нету исходников да и настраивать ботов как следует под себя они не умеют.
Поэтому проверку на цвет или простое уравнение (случайно чередующиеся) дают очень значительную защиту, нежеле кажется на первый взгляд.
Лично у меня на нескольких десятков сайтов за пару лет не единого бота не было, вот пример: http://globalzone.su/index.php?action=register (конечно тут и капча есть, но она слабовата).

PS> А если это 'профессиональный' ботовод, то не капча, не цвета, ни JS вас не спасёт... Есть бот который рекапчу распознаёт достаточно успешно.

Сори за оффтоп.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

Дабы не создавать новую тему я напишу в существующую.
Подскажите как правильно формировать сл задачу.
Есть список ресурсов которые нужно разрешить(все порты), все остально блокируем(все порты).
Что я делаю.
1.Создаю в адрес листе списки ip адресов на которых нужно дать доступ.
2.В Filter Rules создаю разрешающее правило .
На вкладке General Chain-forward,
Advanced-Src.Address List -имя моего правила.,
Action-accept.
3.В Filter Rules создаю запрещающее правило .
На вкладке General Chain-forward,
Action-drop.
....
Вроде работает, но сайты ОЧЕНЬ медленно открываются. Возможно я не правильно формирую правила, объясните пожалуйста или привидите пример.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Я бы советовал не блокировать, а натить по правилу

То есть ограничивать lдоступ на уровне правила NAT


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить