Как запретить определенные сайты в Mikrotik?

Обсуждение ОС и пр.
antkamidiv
Сообщения: 123
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Re: Как запретить определенные сайты в Mikrotik?

Сообщение antkamidiv » 23 мар 2012, 00:50

Тот же вконтакте имеет целую тучу ipшников. Простым запретом через адреслист реализовывать такую политику ограничения неблагодарное дело!!!

Запрет доступа к определенным сайтам можно сделать с помощью прокси сервера.
Алгоритм следующий:
1. Запускаете прокси (Web Proxy) в RouterOS.
2. Редиректите (Firewall -> NAT -> redirect) все соединения по порту 80 на порт прокси сервера (по умолчанию 8080).
3. На прокси сервере в access листе ставите запрет на необходимые ресурсы.

При таком подходе вы ограничиваете доступ по доменному имени, а не по ip адресам серверов, что экономит вам время на занесение всех возможных ip нежелательного ресурса в адреслисты с дальнейшим их запретом. При этом же нет необходимости настраивать браузера на использование прокси сервера (из-за редиректа).

Связка проверена и работает в 32 офисах.
M1chA
Сообщения: 153
Зарегистрирован: 05 мар 2012, 11:35

Re: Как запретить определенные сайты в Mikrotik?

Сообщение M1chA » 23 мар 2012, 10:53

antkamidiv
и я пришел к такому же выводу )))

З.Ы я только начинаю его осваивать поэтому сильно не ругайтесь )))
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Re: Как запретить определенные сайты в Mikrotik?

Сообщение sontrava » 23 мар 2012, 20:08

Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.

/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=Ваш_WAN

Или так, для ленивых
/ip f f a ac=d ch=forward pr=t src-address=192.168.0.2 out-i=Ваш_WAN cont="Host: porno.ru"

Блокируется только один исходящий пакет еще на взлете - никаких входящих пакетов соответственно дальше уже не идет.
Исходящие пакеты TCP вообще копеечные по трафику.
А Ресурсы процессора на фильтрацию входящих пакетов совсем не тратятся. Потому как их просто нет.

Кроме того нормально откроются абсолютно все пакеты и сайты содержащие фразу "Host: porno.ru"

Тем самым закрываем только сайт porno.ru и ничего лишнего. В отличие от блокировки по IP.
Тем более IP может меняться. И сайт может иметь много IP.


Вместо 192.168.0.2 можно указать целую под-сеть 192.168.0.0/24
или в адресс-листе указать список IP адресов, каким запрещен доступ к web-ресурсу porno.ru.
Правило поднимите наверх.

"Host: porno.ru" - это фрагмент с Get-запроса HTTP.

Вот так все просто.
Последний раз редактировалось sontrava 24 мар 2012, 11:32, всего редактировалось 15 раз.
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Re: Как запретить определенные сайты в Mikrotik?

Сообщение sontrava » 23 мар 2012, 21:03

Можно вообще создать правило,
которое дабавляет в Адрес-лист, пользователей,
которые ходят на определенные сайты, например на ukr.net

Или которые посещают сайты, содержащие слова "порно".

Или даже запретить вход на все сайты,
кроме разрешенного.
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Как запретить определенные сайты в Mikrotik?

Сообщение iSupport » 23 мар 2012, 21:33

Есть таблица символов

у них есть коды

например вот http://book.itep.ru/10/ascii.htm

смотрите шестнадцатиричную кодировку
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Re: Как запретить определенные сайты в Mikrotik?

Сообщение sontrava » 23 мар 2012, 22:32

Это понятно.
А как эти коды кинуть Content=.....
Content=\x8D будет искать строку "\x8D" а не символ
?
podarok66
Модератор
Сообщения: 2872
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Как запретить определенные сайты в Mikrotik?

Сообщение podarok66 » 23 мар 2012, 23:30

sontrava писал(а):Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.

/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=WAN


Странно, попробовал на примере vk.com, не блокирует ничего. Правило у меня не срабатывает, хотя я загнал его на самый верх...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Re: Как запретить определенные сайты в Mikrotik?

Сообщение sontrava » 24 мар 2012, 00:18

src-address=192.168.0.2 out-interface=WAN

WAN - поставьте название своего интерфейса в интернет!!!! Или уберите это правило вовсе.
Если у Вас PPoE, PPTP, L2TP соединение, то поставьте соответствующий интерфейс Вашего клиента!!!

src-address= Ваш IP адрес по DHCP! или PPoE....

Писать так Host: vk.com

Никаких лишних пробелов и символов! Ни в начале ни в конце ни в середине.
Только имя сайта. А Не Веб страницы!


У вас что? PPoE?
Последний раз редактировалось sontrava 24 мар 2012, 01:29, всего редактировалось 8 раз.
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Re: Как запретить определенные сайты в Mikrotik?

Сообщение sontrava » 24 мар 2012, 00:27

Copy-Paste используйте с головой.
podarok66
Модератор
Сообщения: 2872
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Как запретить определенные сайты в Mikrotik?

Сообщение podarok66 » 24 мар 2012, 07:53

Я Copy-Paste вообще не использую в таких случаях, набить пару строк в терминале проще и надежнее, по крайней мере голова в момент набора занята именно правилом, а не посторонними делами. Все, нашел причину. Вы тут ни при чем. У меня последнее время Webfig как-то странно работает, надо от работы в терминале из-под него отказываться напрочь. Набил то же правило в терминале Winbox, все встало на свои места. Очень изящное решение. Потому и стал сразу проверять работоспособность, что понравился сам принцип - одна строка в файерволе и вуаля.
Спасибо за подсказку. Будем использовать.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя