Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

Ну как? Блокировать и анонимайзеры.


уверен, что все сможешь переблокировать?
Для очень умных другой подход. Запретить все, включить только по списку нужные для работы сайты.

для бухгалтера такое не подойдет. сегодня ей сайт налоговой, завтра фсс.
Кстати, вышеупомянутый SkyDns и анонимайзеры неплохо блокирует. В целом успешно отсеивается 90% ненужной инфы.



решил пока таким способом
chain=forward action=reject reject-with=tcp-reset protocol=tcp src-address-list=usr_block out-interface=ether1 content=vk.com

режет контент, так что анонимайзеры не спасут их теперь. даже поисковик не даст запрос вбить.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

А https?


kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

plin2s писал(а):А https?

И https


kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

а кто подскажет как лучше реализовать сл. момент.
есть список сайтов, на которые нужно разрешить доступ, все остальное блокировать. решил этот вопрос путем добавления списка разрешеных в access_list и в masquarade указал, что из своей подсети разрешено ходить только на access_list. все бы хорошо, но несколько ресурсов из это списка постоянно меняют свой ip, + ко всему тянут контент на свой сайт из других источников, надоело постоянно отслеживать это. что лучше всего предпринять в этом случае?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Layer7 вам в помощь, ну либо прокси


Есть интересная задача и бюджет? http://mikrotik.site
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

vqd писал(а):Layer7 вам в помощь, ну либо прокси

убрать нат и пустить все через прокси?
наверное где то пропустил в правилах, но когда поднимал прокси и указывал а access сайт к примеру mikrotik.ru то помимо микротика шло куда угодно. фантастика?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я пользуюсь SkyDns. Возлагать на микротик, точнее на себя такие задачи не хочется.


deon1sk4
Сообщения: 4
Зарегистрирован: 10 сен 2019, 11:52

ребят, ветку всю времени нет читать, может вы поможете?
Поставили такую задачу, прикрыть в удаленных офисах весь инет, кроме гуглопочты а вконтакте, есть железки 951g 2hnd, подскажите как можно закрыть все для сети 192.168.29.0\24, работают в связке с юсб модемом, кроме указанных сайтов? очень срочное поручение от руководства и не могу найти работающего мануала под свои нужды.


Farior
Сообщения: 1
Зарегистрирован: 10 сен 2019, 16:48

deon1sk4 писал(а): 10 сен 2019, 11:55 ребят, ветку всю времени нет читать, может вы поможете?
Поставили такую задачу, прикрыть в удаленных офисах весь инет, кроме гуглопочты а вконтакте, есть железки 951g 2hnd, подскажите как можно закрыть все для сети 192.168.29.0\24, работают в связке с юсб модемом, кроме указанных сайтов? очень срочное поручение от руководства и не могу найти работающего мануала под свои нужды.
Привет!

Вкратце: делаешь список адресов, далее правило файерволла запрещать весь трафик сквозь маршрутизатор, кроме в сторону адресов из этого списка.

Создаем список разрешенных адресов, каждый сайт добавлять отдельно, но поле name одно и тоже

Изображение

Создаем запрещающее правило для цепочки forward для всех адресов, кроме списка, за это отвечает галочка "!" поля Dst. Address List

Изображение
Изображение
Изображение

Местные Гуру поправят, если что - то забыл. Но сейчас проверил на своей железке работает.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Farior писал(а): 10 сен 2019, 17:17 Вкратце: делаешь список адресов, далее правило файерволла запрещать весь трафик сквозь маршрутизатор, кроме в сторону адресов из этого списка.
....
Местные Гуру поправят, если что - то забыл. Но сейчас проверил на своей железке работает.
Хороший способ, если вы хотите запретить отдельные сайт, а все остальные разрешить. А вот когда наоборот, как у ТС, у нас появляется проблема, ресурсы могут не жить на одном домене с сайтом и даже сам сайт может не жить на домене который вы забиваете, все будет подтягиваться из субдомена\ов, разнообразное содержимое просто не будет доступно и в поле вероятно даже сам сайт не будет загружаться, а вылавливать все это та еще морока. И даже если вы это все поймаете, добавите и заставите работать, тот час же вэбари могут переделать что-то, заменить один из субдоменов другим и вот вы снова рыщите в поисках причины проблемы. Так что вариант так себе.


Ответить