Страница 7 из 9

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 15 май 2012, 18:40
kulibin01
Приведите пожалуйста пример с одним разрешающим правилом к примеру ip 213.180.204.11 и блок всего остального.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 15 май 2012, 21:34
iSupport
/ip firewall address-list

add address=213.180.204.11 list=allow
add address=192.168.10.0/24 list=inet-free

/ip firewall nat

add action=masquerade chain=srcnat dst-address-list=allow src-address-list=\
inet-free out-interface=pppoe-out1

------------

inet free = локальная подсеть
allow = адресс лист куда можно ходить

Но более правильный вариант- наверное всетаки Прокси

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 15 май 2012, 21:55
kulibin01
iSupport писал(а):/ip firewall address-list

add address=213.180.204.11 list=allow
add address=192.168.10.0/24 list=inet-free

/ip firewall nat

add action=masquerade chain=srcnat dst-address-list=allow src-address-list=\
inet-free out-interface=pppoe-out1

------------

inet free = локальная подсеть
allow = адресс лист куда можно ходить

Но более правильный вариант- наверное всетаки Прокси


т.е по такому правилу мы будем создавать все разрешающие правила.


add action=masquerade chain=srcnat dst-address-list=allow1 src-address-list=\
inet-free out-interface=pppoe-out1

add action=masquerade chain=srcnat dst-address-list=allow2 src-address-list=\
inet-free out-interface=pppoe-out1

add action=masquerade chain=srcnat dst-address-list=allow3 src-address-list=\
inet-free out-interface=pppoe-out1

add action=masquerade chain=srcnat dst-address-list=allow4 src-address-list=\
inet-free out-interface=pppoe-out1

а в Filter мы добавим всего одно правило - drop all? которое и будет блокировать всё остальное, или же его нужно там же в нате прописовать?
========================================

Вопрос по прокси. Я пробовал создать её как показано на 2-ой страничке

[admin@MikroTik]>ip proxy
/set enabled=yes
/set src-address=0.0.0.0
/set port=8080
/set parent-proxy=0.0.0.0:0
/set cache-administrator="admin"
/set cache-on-disk=no
/set max-client-connections=600
/set max-server-connections=600
/set max-cache-size=512KiB
/set max-fresh-time=3d

Теперь надо сделать его прозрачным в файерволе, учитывая, что доступ к админке роутера (192.168.100.1) надо бы все-таки пускать не через прокси (я тут про это не подумал, и не мог в роутер попасть через Webfig, пришлось авторизовываться через Winbox по MAC-адресу):

Код:
[admin@MikroTik]>ip firewall nat add chain=dstnat protocol=tcp dst-address=!192.168.100.1 dst-port=80 action=redirect to-ports=8080


Потом правило запрета:

Код:
[admin@MikroTik]>ip firewall filter add chain=input in-interface=ether1 src-address=0.0.0.0/0 protocol=tcp dst-port=8080 action=drop


Добавил свой разрешающий ресурс, а затем запрет на всё (0.0.0.0/0 deny). По вебу не заходит конечно, но jabber авторизируется. Остальные моменты, такие как ася или торрент не проверял. Возможно не правильно что то делал.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 15 май 2012, 22:32
iSupport
список ОДИН и правило одно

то есть

add name = allow adress=82.118.115.0/24
add name = allow adress=12.18.15.0/24
add name = allow adress=2.1.11.223

и так далее = объедините группу адресов в один адрес лист

------------------

В Вашем случае - понадобится ручка и бумага. Нарисуйте схему,как, что, и куда бы хотите заворачивать и блокировать. Сразу будет понятно, что забыли

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 16 май 2012, 21:02
podarok66
Добавил свой разрешающий ресурс, а затем запрет на всё (0.0.0.0/0 deny). По вебу не заходит конечно, но jabber авторизируется. Остальные моменты, такие как ася или торрент не проверял. Возможно не правильно что то делал.

Ну так ведь завернули-то на прокси только 80 порт, а жабра вроде 443 использует. Явно в правилах где-то дырочка. Глянуть бы правила, а уж потом гуру подскажут...

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 09 июн 2012, 14:24
kulibin01
podarok66 писал(а):
Добавил свой разрешающий ресурс, а затем запрет на всё (0.0.0.0/0 deny). По вебу не заходит конечно, но jabber авторизируется. Остальные моменты, такие как ася или торрент не проверял. Возможно не правильно что то делал.

Ну так ведь завернули-то на прокси только 80 порт, а жабра вроде 443 использует. Явно в правилах где-то дырочка. Глянуть бы правила, а уж потом гуру подскажут...


на то он и веб прокси, чтобы работать на уровне 80 порта, согласны?
все остальное нужно натить как сказал выше iSupport.
так что мне к сожалению прокси не подходит, т.к нужно работать с бОльшим перечень портов чем 80 и 443.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 10 июн 2012, 01:18
rapido
Если на предприятии несколько подсетей, то прописывание правил для каждой подсети превращается в ад. А если закрывать как надо (видео, фото, соцсети итд) это титанический труд. Что бы вопрос с закрытием нежелательных ресурсов стал удовольствием для админа.. предлагаю пару идей. Эти идеи для организаций с четкой политикой доступа сотрудников к ресурсам. А не по морде глядя.
1. У нас поднят внутренний web. Закрываем нежелательный сайт IP/DNS/Static в поле name - имя ресурса например vk.com, в поле address IP внутреннего web, где предварительно размещаем фото или надпись Ай я яй! Этот метод работает на все подсети, которые ходят в инет через микротик.
2. Вообще для ленивых админов..НО!! со статикой
есть куча ресурсов SaaS сервисов подменяющих DNS прова на свой. Достаточно в микротике вбить его IP. (IP/DNS/поле Servers)
В самом сервисе мы можем убрать весь контент который нам не нужен... фото, видео, соцсети, порно итд.. т.е. поставив галки, что нам нужно закрыть... это закрывается раз и навсегда. Над фильтрами работают годами и целые штаты спецов.
пример: https://www.skydns.ru/info/guides/profiles
Многие скажут, что на стороне клиента, в настройках сети можно вбить свой DNS. Но это все решается политиками AD
Чем жестче с пользователями, тем меньше гемора НАМ.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 10 июн 2012, 09:07
iSupport
Соглашусь - skyDNS отличная штука


От себя бы добавил правило в микротике = закрыть UDP 53 (то есть DNS) для любого адреса, кроме серверов SkyDNS

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 09 фев 2013, 16:17
gmx
iSupport писал(а):Соглашусь - skyDNS отличная штука


От себя бы добавил правило в микротике = закрыть UDP 53 (то есть DNS) для любого адреса, кроме серверов SkyDNS



А подробнее можно???
Напишите правило, пожалуйста.

Re: Как запретить определенные сайты в Mikrotik?

Добавлено: 09 фев 2013, 16:39
gmx
Получилось у меня вот так
chain=input action=drop protocol=udp dst-address=!192.168.1.1 dst-port=53

то есть нужно, чтобы клиенты использовали в качестве DNS только IP роутера.
Ну а роутер уже отправит на skydns.


И нифига не работает. Правило действует на запросы от роутера, а надо от клиентов.
:D

Да. Плохо я понимаю работу фаерволла в ROS.