Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Тот же вконтакте имеет целую тучу ipшников. Простым запретом через адреслист реализовывать такую политику ограничения неблагодарное дело!!!

Запрет доступа к определенным сайтам можно сделать с помощью прокси сервера.
Алгоритм следующий:
1. Запускаете прокси (Web Proxy) в RouterOS.
2. Редиректите (Firewall -> NAT -> redirect) все соединения по порту 80 на порт прокси сервера (по умолчанию 8080).
3. На прокси сервере в access листе ставите запрет на необходимые ресурсы.

При таком подходе вы ограничиваете доступ по доменному имени, а не по ip адресам серверов, что экономит вам время на занесение всех возможных ip нежелательного ресурса в адреслисты с дальнейшим их запретом. При этом же нет необходимости настраивать браузера на использование прокси сервера (из-за редиректа).

Связка проверена и работает в 32 офисах.


M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

antkamidiv
и я пришел к такому же выводу )))

З.Ы я только начинаю его осваивать поэтому сильно не ругайтесь )))


sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.

/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=Ваш_WAN

Или так, для ленивых
/ip f f a ac=d ch=forward pr=t src-address=192.168.0.2 out-i=Ваш_WAN cont="Host: porno.ru"

Блокируется только один исходящий пакет еще на взлете - никаких входящих пакетов соответственно дальше уже не идет.
Исходящие пакеты TCP вообще копеечные по трафику.
А Ресурсы процессора на фильтрацию входящих пакетов совсем не тратятся. Потому как их просто нет.

Кроме того нормально откроются абсолютно все пакеты и сайты содержащие фразу "Host: porno.ru"

Тем самым закрываем только сайт porno.ru и ничего лишнего. В отличие от блокировки по IP.
Тем более IP может меняться. И сайт может иметь много IP.


Вместо 192.168.0.2 можно указать целую под-сеть 192.168.0.0/24
или в адресс-листе указать список IP адресов, каким запрещен доступ к web-ресурсу porno.ru.
Правило поднимите наверх.

"Host: porno.ru" - это фрагмент с Get-запроса HTTP.

Вот так все просто.
Последний раз редактировалось sontrava 24 мар 2012, 11:32, всего редактировалось 15 раз.


sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Можно вообще создать правило,
которое дабавляет в Адрес-лист, пользователей,
которые ходят на определенные сайты, например на ukr.net

Или которые посещают сайты, содержащие слова "порно".

Или даже запретить вход на все сайты,
кроме разрешенного.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Есть таблица символов

у них есть коды

например вот http://book.itep.ru/10/ascii.htm

смотрите шестнадцатиричную кодировку


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Это понятно.
А как эти коды кинуть Content=.....
Content=\x8D будет искать строку "\x8D" а не символ
?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

sontrava писал(а):Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.

/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=WAN


Странно, попробовал на примере vk.com, не блокирует ничего. Правило у меня не срабатывает, хотя я загнал его на самый верх...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

src-address=192.168.0.2 out-interface=WAN

WAN - поставьте название своего интерфейса в интернет!!!! Или уберите это правило вовсе.
Если у Вас PPoE, PPTP, L2TP соединение, то поставьте соответствующий интерфейс Вашего клиента!!!

src-address= Ваш IP адрес по DHCP! или PPoE....

Писать так Host: vk.com

Никаких лишних пробелов и символов! Ни в начале ни в конце ни в середине.
Только имя сайта. А Не Веб страницы!


У вас что? PPoE?
Последний раз редактировалось sontrava 24 мар 2012, 01:29, всего редактировалось 8 раз.


sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Copy-Paste используйте с головой.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Я Copy-Paste вообще не использую в таких случаях, набить пару строк в терминале проще и надежнее, по крайней мере голова в момент набора занята именно правилом, а не посторонними делами. Все, нашел причину. Вы тут ни при чем. У меня последнее время Webfig как-то странно работает, надо от работы в терминале из-под него отказываться напрочь. Набил то же правило в терминале Winbox, все встало на свои места. Очень изящное решение. Потому и стал сразу проверять работоспособность, что понравился сам принцип - одна строка в файерволе и вуаля.
Спасибо за подсказку. Будем использовать.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить