Накопал новую фичу нынешней RouterOS. Этот был доклад-презентация Микротика в MUM, Mexico 2018.
Начиная с версии 6.41 работа правила блокировки сайтов в файерволе должна быть организована иначе.
К примеру, блокировка Ютюба и Фэйсбука.
Старый вариант для “High Layer7 load”
Код: Выделить всё
/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"
add name=facebook regexp="^.+(facebook).*\$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube
Использовать Layer7 надо для маркировки пакета когда он соответствует образцу. Layer7 работает только с первыми 10 пакетами по 2кбайт в соединении.
Устарело и старое применение правила блокировки:
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:
Код: Выделить всё
/ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
И если мы будем применять привычное для нас правило для “fasttrack-connection”
Код: Выделить всё
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connectionstate=established,related
И мы используем иной вид правила для “fasttrack-connection”
:
Код: Выделить всё
/ip firewall filter
add chain=forward action=fasttrack-connection connection-bytes=10000-0
add chain=forward action=accept connection-bytes=10000-0
Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.
Источник:
https://www.youtube.com/watch?v=XkKj9rj4quQ