Страница 5 из 9

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 00:50
antkamidiv
Тот же вконтакте имеет целую тучу ipшников. Простым запретом через адреслист реализовывать такую политику ограничения неблагодарное дело!!!

Запрет доступа к определенным сайтам можно сделать с помощью прокси сервера.
Алгоритм следующий:
1. Запускаете прокси (Web Proxy) в RouterOS.
2. Редиректите (Firewall -> NAT -> redirect) все соединения по порту 80 на порт прокси сервера (по умолчанию 8080).
3. На прокси сервере в access листе ставите запрет на необходимые ресурсы.

При таком подходе вы ограничиваете доступ по доменному имени, а не по ip адресам серверов, что экономит вам время на занесение всех возможных ip нежелательного ресурса в адреслисты с дальнейшим их запретом. При этом же нет необходимости настраивать браузера на использование прокси сервера (из-за редиректа).

Связка проверена и работает в 32 офисах.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 10:53
M1chA
antkamidiv
и я пришел к такому же выводу )))

З.Ы я только начинаю его осваивать поэтому сильно не ругайтесь )))

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 20:08
sontrava
Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.

/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=Ваш_WAN

Или так, для ленивых
/ip f f a ac=d ch=forward pr=t src-address=192.168.0.2 out-i=Ваш_WAN cont="Host: porno.ru"

Блокируется только один исходящий пакет еще на взлете - никаких входящих пакетов соответственно дальше уже не идет.
Исходящие пакеты TCP вообще копеечные по трафику.
А Ресурсы процессора на фильтрацию входящих пакетов совсем не тратятся. Потому как их просто нет.

Кроме того нормально откроются абсолютно все пакеты и сайты содержащие фразу "Host: porno.ru"

Тем самым закрываем только сайт porno.ru и ничего лишнего. В отличие от блокировки по IP.
Тем более IP может меняться. И сайт может иметь много IP.


Вместо 192.168.0.2 можно указать целую под-сеть 192.168.0.0/24
или в адресс-листе указать список IP адресов, каким запрещен доступ к web-ресурсу porno.ru.
Правило поднимите наверх.

"Host: porno.ru" - это фрагмент с Get-запроса HTTP.

Вот так все просто.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 21:03
sontrava
Можно вообще создать правило,
которое дабавляет в Адрес-лист, пользователей,
которые ходят на определенные сайты, например на ukr.net

Или которые посещают сайты, содержащие слова "порно".

Или даже запретить вход на все сайты,
кроме разрешенного.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 21:33
iSupport
Есть таблица символов

у них есть коды

например вот http://book.itep.ru/10/ascii.htm

смотрите шестнадцатиричную кодировку

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 22:32
sontrava
Это понятно.
А как эти коды кинуть Content=.....
Content=\x8D будет искать строку "\x8D" а не символ
?

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 23 мар 2012, 23:30
podarok66
sontrava писал(а):Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.

/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=WAN


Странно, попробовал на примере vk.com, не блокирует ничего. Правило у меня не срабатывает, хотя я загнал его на самый верх...

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 24 мар 2012, 00:18
sontrava
src-address=192.168.0.2 out-interface=WAN

WAN - поставьте название своего интерфейса в интернет!!!! Или уберите это правило вовсе.
Если у Вас PPoE, PPTP, L2TP соединение, то поставьте соответствующий интерфейс Вашего клиента!!!

src-address= Ваш IP адрес по DHCP! или PPoE....

Писать так Host: vk.com

Никаких лишних пробелов и символов! Ни в начале ни в конце ни в середине.
Только имя сайта. А Не Веб страницы!


У вас что? PPoE?

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 24 мар 2012, 00:27
sontrava
Copy-Paste используйте с головой.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 24 мар 2012, 07:53
podarok66
Я Copy-Paste вообще не использую в таких случаях, набить пару строк в терминале проще и надежнее, по крайней мере голова в момент набора занята именно правилом, а не посторонними делами. Все, нашел причину. Вы тут ни при чем. У меня последнее время Webfig как-то странно работает, надо от работы в терминале из-под него отказываться напрочь. Набил то же правило в терминале Winbox, все встало на свои места. Очень изящное решение. Потому и стал сразу проверять работоспособность, что понравился сам принцип - одна строка в файерволе и вуаля.
Спасибо за подсказку. Будем использовать.