Как запретить определенные сайты в Mikrotik?

Обсуждение ОС и пр.
M1chA
Сообщения: 153
Зарегистрирован: 05 мар 2012, 11:35

Как запретить определенные сайты в Mikrotik?

Сообщение M1chA » 12 мар 2012, 13:31

Подскажите пожалуйста, как запретить определенные сайты в Mikrotik 5.14, например vk.com?
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Как запретить определенные сайты в Mikrotik?

Сообщение iSupport » 12 мар 2012, 15:18

1) делаете адресс лист, например Block_site

2) например в правило НАТ делаете адресс лист !Block_site

не Block_site

соответственно айпишники из того листа доступны не будут

Айпишники ищем гуглом
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
M1chA
Сообщения: 153
Зарегистрирован: 05 мар 2012, 11:35

Re: Как запретить определенные сайты в Mikrotik?

Сообщение M1chA » 12 мар 2012, 16:31

Угу,понятно,спасибо.
Еще один вопросик назрел...

Предыдущий админ ушел из конторы и не оставил логин/пароль на Mikrotik 5.*
Mikrotik стоит на компе. Я хочу загрузиться с LiveCD и копирнуть файл конфигурации.

Вопросов 2.
1. В какой директории и каком файле хранится конфигурация Mikrotik?
2. В какой директории и каком файле хранятся логины/пароли пользователей?

Хочу попробовать изменить логин/пароль админа и зайти на него.
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Как запретить определенные сайты в Mikrotik?

Сообщение iSupport » 12 мар 2012, 17:42

насколько удалось вывести их интернета

%путь_монтирования%/nova/store/user.dat

это файл конфигурации Юзверей. Его либо вскрыть, либо заменить на новый с вашим паролем
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Как запретить определенные сайты в Mikrotik?

Сообщение danilovav » 12 мар 2012, 20:26

А совсем никак не организовать блокировку именно по URL?
Можно ли через L7 protocols?
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Как запретить определенные сайты в Mikrotik?

Сообщение iSupport » 13 мар 2012, 00:01

L7 считывает данные заголовков пакетов, чтоб понять что в них и применяет к ним правила

Минусов много. Основной - L7 работает медленнее чем adress list

лучший вариант всетаки Адресс листы
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Как запретить определенные сайты в Mikrotik?

Сообщение danilovav » 13 мар 2012, 20:09

Он явно не лучше... DynDNS, динамические или большие сети, просто необходимость заблокировать один подресурс (например, яндекс-фотки, а сам поиск оставить)
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Как запретить определенные сайты в Mikrotik?

Сообщение iSupport » 14 мар 2012, 12:23

как видно из примера - фотки и сам яндекс поиск - разные ИПы

Код: Выделить всё

C:\Users\Messire>nslookup foto.yandex.ru
Не заслуживающий доверия ответ:
╚ь :     fotki.yandex.ru
Addresses:  87.250.250.178
          87.250.251.178
          93.158.134.178
          213.180.204.178
          77.88.21.178
Aliases:  foto.yandex.ru


C:\Users\Messire>nslookup yandex.ru

Не заслуживающий доверия ответ:
╚ь :     yandex.ru
Addresses:  77.88.21.11
          87.250.250.11
          87.250.251.11
          93.158.134.11
          213.180.193.11
          213.180.204.11


C:\Users\Messire>


и еще - посмотрите про L7
http://l7-filter.sourceforge.net/protocols
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
podarok66
Модератор
Сообщения: 2861
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Как запретить определенные сайты в Mikrotik?

Сообщение podarok66 » 14 мар 2012, 19:43

Как вариант, можно завернуть весь трафик через прокси, сделать этот прокси прозрачным, запретить трафик мимо прокси и уже в прокси написать правило типа

Код: Выделить всё

[admin@MikroTik]>ip proxy access add dst-host=www.odnoklassniki.ru action=deny

Надо только не забывать, что доступ к самому Mikrotik не стоит редиректить, я таким образом прикрыл доступ самому себе к роутеру, пришлось заходить по МАК-адресу.
В принципе, можно даже запретить загрузку файлов с определенным расширением, если очень уж юзеры отвязные

Код: Выделить всё

[admin@MikroTik]>ip proxy access add path=*.mp3 action=deny
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Как запретить определенные сайты в Mikrotik?

Сообщение danilovav » 14 мар 2012, 21:44

iSupport писал(а):как видно из примера - фотки и сам яндекс поиск - разные ИПы

Пример с яндексом не очень был - у них все правильно
А вот mail.ru, bk.ru - хороший пример, все на одном адресе
Вообще, тема виртуального (один IP, много сайтов) хостинга очень популярна, поэтому блокировка по IP совсем не супер

Код: Выделить всё

C:\Users\Alexandr Danilov>nslookup
Default Server:  UnKnown
Address:  192.168.10.1

> mail.ru
Server:  UnKnown
Address:  192.168.10.1

Non-authoritative answer:
Name:    mail.ru
Addresses:  94.100.191.201
          94.100.191.202
          94.100.191.203
          94.100.191.204

> bk.ru
Server:  UnKnown
Address:  192.168.10.1

Non-authoritative answer:
Name:    bk.ru
Addresses:  94.100.191.203
          94.100.191.204
          94.100.191.201
          94.100.191.202


Вариант с прокси - хорош, особенно если прозрачно клиентов завернуть на него

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей