Проблемы с блокировкой vk.com
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Конечно - это не панацея. Просто как-то мы тут упустили это нововведение. А жаль. Допустим два года назад я очень сетовал, что это было не возможно. Иногда нужен простой инструмент, без заморочек.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я тоже пропустил Даже обидно становиться, насколько я невнимателен. Обязательно вечером себя в угол поставлю.
Ну пока нашел на Хабре описание,
Обкатаю у себя на железках со временем и конечно запишу...
gmx писал(а):Podarok66 вы в свою записную книжку это запишите???
Ну пока нашел на Хабре описание,
https://habrahabr.ru/post/271707/ писал(а):Доменные имена в адресных листах
И на сладкое: начиная с версии v6.36, в адресные листы можно добавлять доменные имена!
*) firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);
Если вы еще не прыгаете от радости как я, то самое время начать. Эта фича позволяет практически полностью уйти от использования затратного L7 с его ограничениями.
В качестве примера приведу маршрутизацию разных сайтов в разные шлюзы. Это актуально в связи с действительностью в нашей стране. Заворачивать будем web-интерфейсы почтовых серверов mail.google.com и e.mail.ru. В почту Google будем ходить по OVPN, а в Mail — по L2TP.Код: Выделить всё
/ip firewall address-list add list=ovpn address=mail.google.com
/ip firewall address-list add list=l2tp address=e.mail.ru
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address-list=ovpn action=mark-routing new-routing-mark=ovpn-route
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address-list=l2tp action=mark-routing new-routing-mark=l2tp-route
/ip route add dst-address=0.0.0.0/0 gateway=ovpn-out1 distance=1 routing-mark=ovpn-route
/ip route add dst-address=0.0.0.0/0 gateway=l2tp-out1 distance=1 routing-mark=l2tp-route
Таким образом, при добавлении нужного имени в определенный лист, мы фактически определяем по какому каналу будет установлена связь.
Еще один пример, который многим пригодится: перенаправлять все TCP-соединения в шлюз OVPN, а rkn.gov.ru — в шлюз по умолчанию.Код: Выделить всё
/ip firewall address-list add list=RKN address=rkn.gov.ru
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address-list=RKN action=accept
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address=!192.168.0.0/16 action=mark-routing new-routing-mark=ovpn-route
/ip route add dst-address=0.0.0.0/0 gateway=ovpn-out1 distance=1 routing-mark=ovpn-route
Важное замечание: если вы используете Fasttrack, то обязательно смотрите его описание. А именно:
Fasttracked packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), ip accounting, ipsec, hotspot universal client, vrf assignment, so it is up to administrator to make sure fasttrack does not interfere with other configuration;
Что значит, что соединения такого типа не попадают в файервол, обработку пакетов, очереди и т.д.
Обкатаю у себя на железках со временем и конечно запишу...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- HotBeer
- Сообщения: 20
- Зарегистрирован: 16 ноя 2016, 13:36
- Откуда: Югорск
- Контактная информация:
Вообщем как показала практика наиболее действенный способ и более практичный во всех смыслах, как минимум на моём этапе это использовать.
"firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);"
Так как при использовании регулярок была нагрузка на микротик и весь http и https трафик достаточно тупо работал у пользователей, отключил регулярки и трафик полетел нормально.
"firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);"
Так как при использовании регулярок была нагрузка на микротик и весь http и https трафик достаточно тупо работал у пользователей, отключил регулярки и трафик полетел нормально.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Да, отличная функция, я бы даже сказал, одна из самых значимых за последнее время.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Я тоже как-о проспал эту функцию. Сегодня на работе буду пробовать.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 12
- Зарегистрирован: 30 янв 2017, 18:42
- Откуда: Астрахань
- Контактная информация:
allow to add domain name to address-lists - хорошапя фича. Соц сети дропает без проблем, но мне надо прикрыть в частности ютуб, mail.ru, подскажите как это все дело замутить
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Объясните чуть подробнее - в чем разница с социальными сетями, с вашей точки зрения?
-
- Сообщения: 12
- Зарегистрирован: 30 янв 2017, 18:42
- Откуда: Астрахань
- Контактная информация:
Проблема ясна.Соединения идут на адреса отсутствующие в адресс листе (появляются ноыве айпишники). Как их отловить ХЗ
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
-
- Сообщения: 12
- Зарегистрирован: 30 янв 2017, 18:42
- Откуда: Астрахань
- Контактная информация:
Я вносил именно доменные имена. Тема прочитал все 13 стр.