Страница 1 из 9
Как запретить определенные сайты в Mikrotik?
Добавлено: 12 мар 2012, 13:31
M1chA
Подскажите пожалуйста, как запретить определенные сайты в Mikrotik 5.14, например vk.com?
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 12 мар 2012, 15:18
iSupport
1) делаете адресс лист, например Block_site
2) например в правило НАТ делаете адресс лист !Block_site
не Block_site
соответственно айпишники из того листа доступны не будут
Айпишники ищем гуглом
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 12 мар 2012, 16:31
M1chA
Угу,понятно,спасибо.
Еще один вопросик назрел...
Предыдущий админ ушел из конторы и не оставил логин/пароль на Mikrotik 5.*
Mikrotik стоит на компе. Я хочу загрузиться с LiveCD и копирнуть файл конфигурации.
Вопросов 2.
1. В какой директории и каком файле хранится конфигурация Mikrotik?
2. В какой директории и каком файле хранятся логины/пароли пользователей?
Хочу попробовать изменить логин/пароль админа и зайти на него.
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 12 мар 2012, 17:42
iSupport
насколько удалось вывести их интернета
%путь_монтирования%/nova/store/user.dat
это файл конфигурации Юзверей. Его либо вскрыть, либо заменить на новый с вашим паролем
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 12 мар 2012, 20:26
danilovav
А совсем никак не организовать блокировку именно по URL?
Можно ли через L7 protocols?
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 13 мар 2012, 00:01
iSupport
L7 считывает данные заголовков пакетов, чтоб понять что в них и применяет к ним правила
Минусов много. Основной - L7 работает медленнее чем adress list
лучший вариант всетаки Адресс листы
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 13 мар 2012, 20:09
danilovav
Он явно не лучше... DynDNS, динамические или большие сети, просто необходимость заблокировать один подресурс (например, яндекс-фотки, а сам поиск оставить)
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 14 мар 2012, 12:23
iSupport
как видно из примера - фотки и сам яндекс поиск - разные ИПы
Код: Выделить всё
C:\Users\Messire>nslookup foto.yandex.ru
Не заслуживающий доверия ответ:
╚ь : fotki.yandex.ru
Addresses: 87.250.250.178
87.250.251.178
93.158.134.178
213.180.204.178
77.88.21.178
Aliases: foto.yandex.ru
C:\Users\Messire>nslookup yandex.ru
Не заслуживающий доверия ответ:
╚ь : yandex.ru
Addresses: 77.88.21.11
87.250.250.11
87.250.251.11
93.158.134.11
213.180.193.11
213.180.204.11
C:\Users\Messire>
и еще - посмотрите про L7
http://l7-filter.sourceforge.net/protocols
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 14 мар 2012, 19:43
podarok66
Как вариант, можно завернуть весь трафик через прокси, сделать этот прокси прозрачным, запретить трафик мимо прокси и уже в прокси написать правило типа
Код: Выделить всё
[admin@MikroTik]>ip proxy access add dst-host=www.odnoklassniki.ru action=deny
Надо только не забывать, что доступ к самому Mikrotik не стоит редиректить, я таким образом прикрыл доступ самому себе к роутеру, пришлось заходить по МАК-адресу.
В принципе, можно даже запретить загрузку файлов с определенным расширением, если очень уж юзеры отвязные
Код: Выделить всё
[admin@MikroTik]>ip proxy access add path=*.mp3 action=deny
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 14 мар 2012, 21:44
danilovav
iSupport писал(а):как видно из примера - фотки и сам яндекс поиск - разные ИПы
Пример с яндексом не очень был - у них все правильно
А вот mail.ru, bk.ru - хороший пример, все на одном адресе
Вообще, тема виртуального (один IP, много сайтов) хостинга очень популярна, поэтому блокировка по IP совсем не супер
Код: Выделить всё
C:\Users\Alexandr Danilov>nslookup
Default Server: UnKnown
Address: 192.168.10.1
> mail.ru
Server: UnKnown
Address: 192.168.10.1
Non-authoritative answer:
Name: mail.ru
Addresses: 94.100.191.201
94.100.191.202
94.100.191.203
94.100.191.204
> bk.ru
Server: UnKnown
Address: 192.168.10.1
Non-authoritative answer:
Name: bk.ru
Addresses: 94.100.191.203
94.100.191.204
94.100.191.201
94.100.191.202
Вариант с прокси - хорош, особенно если прозрачно клиентов завернуть на него