Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Адресс лист надо назвать БЕЗ восклицательного знака ( просто Block site)


а когда делаете правило НАТ (mascarade) слева от поля DST adress list есть квадратик

ткните в квадратик и появится Восклицательный знак (ТО ЕСТЬ Отрицание совпадения)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

IP-адреса сайтов блокировать непозволительно.
Потому как на 1 IP адресе может висеть сотни сайтов.

Только разбор HTTP заголовка поможет. Layer7-Protocol.
Там есть DNS-имя сайта.
Но Regexp, к сожалению не работает у Микротика.


M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

iSupport

Спасибо за уточнение.

sontrava

Если не хотите блокировать IP тогда лучше сделать редирект на прокси, где и будет все запрещаться/разрешаться. И быстрей будет работать чем через Layer 7. Говорю так потому, что сравнивал Web proxy и Layer7. Web proxy быстрей и удобней.


M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Просветите меня пожалуйста,а то я все еще путаюсь.

Есть DST - Address и DST - Port
Есть SRC - Address и SRC - Port

Что значит DST и SRC?
На примере 2 сетевух.
В сетевуху №1 заведен Интернет
В сетевуху №2 заведен LAN

Если я создаю правило перенаправляющее с порта 80 на порт 3128 почему я указываю dstnat?

Ну как-то вот так...
Путаюсь я еще в терминологии.


M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Вопрос.
На компе 3 учетных записи.
Все 3 пользователя пользуются контактом.
Нужно одному закрыть определенные приложения а другому оставить полный доступ.
Как это реализовать?


danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

NAT - произвольная адресная трансляция (модификация пакета)
D-NAT (dst-nat) это NAT с изменением назначения (destination) - было назначение на внешний IP роутера, стало на внутренний адрес
S-NAT (src-nat) это NAT c изменением источника (souece) - был запрос от локального (внутреннего) хоста, стал от внешнего IP роутера


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

M1chA писал(а):Вопрос.
На компе 3 учетных записи.
Все 3 пользователя пользуются контактом.
Нужно одному закрыть определенные приложения а другому оставить полный доступ.
Как это реализовать?

Может все-таки в данном случае поставить firewall на компьютер и уже там применить разные политики для разных пользователей? На мой взгляд это в реализации на порядок проще, чем нагружать роутер ненужными правилами. Причем, я плохо представляю, как это реализовывать силами роутера, разве что доступ через HotSpot под разными логинами с разной политикой запретов. Но...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

danilovav
Спасибо за разъяснение.

podarok66
Ставить на комп фаер к сожалению не вариант, поэтому буду думать...
Может радиус подниму...


sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Web proxy быстрей и удобней.

Это да.

L7 - тяжелая штука.
Кроме того у меня она так и не заработала.
Регекспы разные пробовал.
HTTP заголовок отфильтровать так и не получилось


sontrava
Сообщения: 66
Зарегистрирован: 26 июл 2011, 17:19

Можно блокировать IP-адрес сайта, если известно,
что на этом IP висит только этот сайт.

Это легко определяется.


Ответить