Страница 2 из 9

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 15 мар 2012, 02:05
iSupport
Прозрачный прокси - не проблема

Ловим файрволом трафик во внешний мир по 80 порту и заворачиваем на порт прокси

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 18 мар 2012, 22:54
M1chA
Запретил через Адрес-листы-все прекрасно работает.
Теперь назрела необходимость дать некоторым пользователям доступ к контакту но ограничить их в серфинге по контакту.
Поясню что имеется ввиду. Есть сайт vk.com. Пользователь может шариться по нему сколько угодно но использовать игры не должен мочь.
Провел небольшой анализ и выяснил, что страница игр имеет адрес http://vk.com/apps
Если открыть какую-нибудь игру/приложение то оно имеет следующий формат: http://vk.com/app1995682_14706654
Мы видим, что буква "s" заменяется на цифру и дальше идет сам адрес игры/приложения.
Так вот, надо сделать так, чтобы все эти игры/приложения были недоступны.

Конфигурация Mikrotik следующая.

Код: Выделить всё

NAT. Masquerade
Adress Lists. Lan_lists (192.168.0.0/20)
Adress Lists. !BlockSites
DHCP server
Internet. PPPOE.


Подскажите пожалуйста куда копать, ибо в Adress Lists такой формат

Код: Выделить всё

http://vk.com/app1995682_14706654
не добавляется.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 19 мар 2012, 19:23
iSupport
тут идет блокировка уже через http адрес

для этого лучший вариант - использовать прокси

http://wiki.mikrotik.com/wiki/How_to_Bl ... sing_Proxy

статейка тут

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 19 мар 2012, 19:52
M1chA
Сделал по ссылке которую Вы мне дали - не помогло.
Вот скрин. Что я не так делаю?

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 19 мар 2012, 20:20
podarok66
Сначала нужно настроить прокси:

Код: Выделить всё

[admin@MikroTik]>ip proxy
/set enabled=yes
/set src-address=0.0.0.0
/set port=8080
/set parent-proxy=0.0.0.0:0
/set cache-administrator="admin"
/set cache-on-disk=no
/set max-client-connections=600
/set max-server-connections=600
/set max-cache-size=512KiB
/set max-fresh-time=3d

Теперь надо сделать его прозрачным в файерволе, учитывая, что доступ к админке роутера (192.168.100.1) надо бы все-таки пускать не через прокси (я тут про это не подумал, и не мог в роутер попасть через Webfig, пришлось авторизовываться через Winbox по MAC-адресу):

Код: Выделить всё

[admin@MikroTik]>ip firewall nat add chain=dstnat protocol=tcp dst-address=!192.168.100.1 dst-port=80 action=redirect to-ports=8080 


Потом правило запрета:

Код: Выделить всё

[admin@MikroTik]>ip firewall filter add chain=input in-interface=ether1 src-address=0.0.0.0/0 protocol=tcp dst-port=8080 action=drop


Режем доступ к играм в контакте:

Код: Выделить всё

[admin@MikroTik]>ip proxy access add dst-host=:vk.com/app action=deny


Попробуйте, должно сработать...

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 19 мар 2012, 21:42
iSupport
или ...

path указать

*vk.com\apps

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 19 мар 2012, 22:17
iSupport
сам проверил

так получилось

Код: Выделить всё


/ip proxy set cache-administrator=messire enabled=yes
/ip proxy access
add action=deny dst-host=vk.com dst-port=80 path=*app*
[messire@MikroTik]


Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 19 мар 2012, 23:13
M1chA
Не получается :(

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 20 мар 2012, 10:39
iSupport
ну во-первых, правило Редирект в ФАЙРВОЛЛ - НАТ у Вас выключено (нажмите синюю галочку)

во-вторых - редирект должен стоять выше Маскардинга (у Вас ниже, перетащите его наверх)

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 20 мар 2012, 12:56
M1chA
iSupport
Спасибо,помогло.