если разрешить ходить только dhcp клиентам
/interface bridge add arp=reply-only
/ip dhcp-server add add-arp=yes
и всех повернуть на dns микротика.
/ip firewall nat add action=redirect chain=dstnat dst-port=53 in-interface=LAN protocol=udp
должно спасти от подмены dns на компах ползователя, от программ скорей всего нет.
Проблемы с блокировкой vk.com
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Я делал такое. Очень жестко получается, мне было очень неудобно админить и я отказался от такой схемы.
-
- Сообщения: 5
- Зарегистрирован: 07 окт 2016, 09:57
Ребят, всем здрасте!Блокирую vk.com, ok.ru ну и еще небольшую кучку ... пробовал и через веб прокси и файрволом правила и через протокол 7, все блокируется все хорошо .... но остается беда с https ... например если на тот же вк зайти https://vk.com то спокойно заходит, может кто что посоветовать? читал тему, но нифига что то не понял не нашел решения ...
помогите пожалуйста, заранее спасибо!
помогите пожалуйста, заранее спасибо!
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Не поняли что??? Не поняли, что решения толком нет?
Только через DNS можно заблокировать.
Только через DNS можно заблокировать.
-
- Сообщения: 5
- Зарегистрирован: 07 окт 2016, 09:57
gmx писал(а):Не поняли что??? Не поняли, что решения толком нет?
Только через DNS можно заблокировать.
а можно с днсами как то более подробно?
-
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
поднять свой DNS
в DNS прописать что то левое на вконтакте, однокласники , прочее .....
пользователям запретить 53 порт на ружу ....
только свой DNS.
но как я понимаю решение не комильфо
в DNS прописать что то левое на вконтакте, однокласники , прочее .....
пользователям запретить 53 порт на ружу ....
только свой DNS.
но как я понимаю решение не комильфо
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Да, самый лучший вариант - это, наверное, установка специального ПО на клиентском компьютере.
Проблема только одна - много работы руками. Да и ПО денег стоит, но если, например, для школы, то под это дело деньги выделают - обязаны.
Проблема только одна - много работы руками. Да и ПО денег стоит, но если, например, для школы, то под это дело деньги выделают - обязаны.
-
- Сообщения: 5
- Зарегистрирован: 07 окт 2016, 09:57
Vladimir22 писал(а):поднять свой DNS
в DNS прописать что то левое на вконтакте, однокласники , прочее .....
пользователям запретить 53 порт на ружу ....
только свой DNS.
но как я понимаю решение не комильфо
в принципе разобрался что да как, но осталась проблема что всеравно по хттпс ползем спокойно
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Если на DNS сервере адрес типа https://vk.com подменен заглушкой, то никак пройти не получится.
Вы помните, что на винде есть собственный кэш DNS?
Вы помните, что на винде есть собственный кэш DNS?
-
- Сообщения: 5
- Зарегистрирован: 07 окт 2016, 09:57
gmx писал(а):Если на DNS сервере адрес типа https://vk.com подменен заглушкой, то никак пройти не получится.
Вы помните, что на винде есть собственный кэш DNS?
да помню .... все https://vk.com заблокировал ... щас вопрос как быть с фейсбуком? что только не делал ... толку НОЛЬ ... ((
и еще вопрос не могу понять как сделать так чтобы на некоторых машинах доступ был разрешен? и так же почемуто с приложения с телефона на ведройде в вк продолжает пускать, как можно это обойти?