Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

Приведите пожалуйста пример с одним разрешающим правилом к примеру ip 213.180.204.11 и блок всего остального.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

/ip firewall address-list

add address=213.180.204.11 list=allow
add address=192.168.10.0/24 list=inet-free

/ip firewall nat

add action=masquerade chain=srcnat dst-address-list=allow src-address-list=\
inet-free out-interface=pppoe-out1

------------

inet free = локальная подсеть
allow = адресс лист куда можно ходить

Но более правильный вариант- наверное всетаки Прокси


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

iSupport писал(а):/ip firewall address-list

add address=213.180.204.11 list=allow
add address=192.168.10.0/24 list=inet-free

/ip firewall nat

add action=masquerade chain=srcnat dst-address-list=allow src-address-list=\
inet-free out-interface=pppoe-out1

------------

inet free = локальная подсеть
allow = адресс лист куда можно ходить

Но более правильный вариант- наверное всетаки Прокси


т.е по такому правилу мы будем создавать все разрешающие правила.


add action=masquerade chain=srcnat dst-address-list=allow1 src-address-list=\
inet-free out-interface=pppoe-out1

add action=masquerade chain=srcnat dst-address-list=allow2 src-address-list=\
inet-free out-interface=pppoe-out1

add action=masquerade chain=srcnat dst-address-list=allow3 src-address-list=\
inet-free out-interface=pppoe-out1

add action=masquerade chain=srcnat dst-address-list=allow4 src-address-list=\
inet-free out-interface=pppoe-out1

а в Filter мы добавим всего одно правило - drop all? которое и будет блокировать всё остальное, или же его нужно там же в нате прописовать?
========================================

Вопрос по прокси. Я пробовал создать её как показано на 2-ой страничке

[admin@MikroTik]>ip proxy
/set enabled=yes
/set src-address=0.0.0.0
/set port=8080
/set parent-proxy=0.0.0.0:0
/set cache-administrator="admin"
/set cache-on-disk=no
/set max-client-connections=600
/set max-server-connections=600
/set max-cache-size=512KiB
/set max-fresh-time=3d

Теперь надо сделать его прозрачным в файерволе, учитывая, что доступ к админке роутера (192.168.100.1) надо бы все-таки пускать не через прокси (я тут про это не подумал, и не мог в роутер попасть через Webfig, пришлось авторизовываться через Winbox по MAC-адресу):

Код:
[admin@MikroTik]>ip firewall nat add chain=dstnat protocol=tcp dst-address=!192.168.100.1 dst-port=80 action=redirect to-ports=8080


Потом правило запрета:

Код:
[admin@MikroTik]>ip firewall filter add chain=input in-interface=ether1 src-address=0.0.0.0/0 protocol=tcp dst-port=8080 action=drop


Добавил свой разрешающий ресурс, а затем запрет на всё (0.0.0.0/0 deny). По вебу не заходит конечно, но jabber авторизируется. Остальные моменты, такие как ася или торрент не проверял. Возможно не правильно что то делал.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

список ОДИН и правило одно

то есть

add name = allow adress=82.118.115.0/24
add name = allow adress=12.18.15.0/24
add name = allow adress=2.1.11.223

и так далее = объедините группу адресов в один адрес лист

------------------

В Вашем случае - понадобится ручка и бумага. Нарисуйте схему,как, что, и куда бы хотите заворачивать и блокировать. Сразу будет понятно, что забыли


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Добавил свой разрешающий ресурс, а затем запрет на всё (0.0.0.0/0 deny). По вебу не заходит конечно, но jabber авторизируется. Остальные моменты, такие как ася или торрент не проверял. Возможно не правильно что то делал.

Ну так ведь завернули-то на прокси только 80 порт, а жабра вроде 443 использует. Явно в правилах где-то дырочка. Глянуть бы правила, а уж потом гуру подскажут...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kulibin01
Сообщения: 16
Зарегистрирован: 21 мар 2012, 14:18

podarok66 писал(а):
Добавил свой разрешающий ресурс, а затем запрет на всё (0.0.0.0/0 deny). По вебу не заходит конечно, но jabber авторизируется. Остальные моменты, такие как ася или торрент не проверял. Возможно не правильно что то делал.

Ну так ведь завернули-то на прокси только 80 порт, а жабра вроде 443 использует. Явно в правилах где-то дырочка. Глянуть бы правила, а уж потом гуру подскажут...


на то он и веб прокси, чтобы работать на уровне 80 порта, согласны?
все остальное нужно натить как сказал выше iSupport.
так что мне к сожалению прокси не подходит, т.к нужно работать с бОльшим перечень портов чем 80 и 443.


rapido
Сообщения: 3
Зарегистрирован: 08 июн 2012, 20:06

Если на предприятии несколько подсетей, то прописывание правил для каждой подсети превращается в ад. А если закрывать как надо (видео, фото, соцсети итд) это титанический труд. Что бы вопрос с закрытием нежелательных ресурсов стал удовольствием для админа.. предлагаю пару идей. Эти идеи для организаций с четкой политикой доступа сотрудников к ресурсам. А не по морде глядя.
1. У нас поднят внутренний web. Закрываем нежелательный сайт IP/DNS/Static в поле name - имя ресурса например vk.com, в поле address IP внутреннего web, где предварительно размещаем фото или надпись Ай я яй! Этот метод работает на все подсети, которые ходят в инет через микротик.
2. Вообще для ленивых админов..НО!! со статикой
есть куча ресурсов SaaS сервисов подменяющих DNS прова на свой. Достаточно в микротике вбить его IP. (IP/DNS/поле Servers)
В самом сервисе мы можем убрать весь контент который нам не нужен... фото, видео, соцсети, порно итд.. т.е. поставив галки, что нам нужно закрыть... это закрывается раз и навсегда. Над фильтрами работают годами и целые штаты спецов.
пример: https://www.skydns.ru/info/guides/profiles
Многие скажут, что на стороне клиента, в настройках сети можно вбить свой DNS. Но это все решается политиками AD
Чем жестче с пользователями, тем меньше гемора НАМ.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Соглашусь - skyDNS отличная штука


От себя бы добавил правило в микротике = закрыть UDP 53 (то есть DNS) для любого адреса, кроме серверов SkyDNS


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

iSupport писал(а):Соглашусь - skyDNS отличная штука


От себя бы добавил правило в микротике = закрыть UDP 53 (то есть DNS) для любого адреса, кроме серверов SkyDNS



А подробнее можно???
Напишите правило, пожалуйста.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Получилось у меня вот так
chain=input action=drop protocol=udp dst-address=!192.168.1.1 dst-port=53

то есть нужно, чтобы клиенты использовали в качестве DNS только IP роутера.
Ну а роутер уже отправит на skydns.


И нифига не работает. Правило действует на запросы от роутера, а надо от клиентов.
:D

Да. Плохо я понимаю работу фаерволла в ROS.


Ответить