Частичный перехват трафика в одной сети

[Skylear]

Итак коллеги. Устройство стоит и работает. Выбор пал на hex (писали на саппорт техподдержки микротика, спрашивали на счет производительности), так как он не просаживается при настройке HW Offload off, хотя больше ни для чего не используется((( Как показывает практика устройство hap mini тоже работает, но "долбится в сотку", хотя пользователи не чувствуют просадок. Устройство работает как надо - перехватывает нужные адреса из address list и перенаправляет их от себя дальше на проксю, и сайты открываются. Пробовали также сделать запрет сайтов, youtube например, на l7 - тоже работает, но это так - для развлечения.
Вот необходимое правило, может кому-то пригодится:

Код: Выделить всё

/ip firewall nat
add action=src-nat chain=srcnat dst-address-list="Ваш белый лист" src-address=\
    "Ваша серая подсеть" to-addresses="Белый адрес микротика"

[vlasyukmag]

запрет сайтов, youtube например, на l7
блокировка сработала у вас на android устройствах ?
у меня сработала только на windows и устройствах apple

[Skylear]

Не уверен что про блок сайтов по теме, но правило на примере ютуба такое:

Код: Выделить всё

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"

/ip firewall mangle
add action=mark-connection chain=prerouting comment="Mark Black Sites" \
    connection-mark=youtube_conn disabled=yes dst-port=53 layer7-protocol=\
    youtube new-connection-mark=youtube_conn passthrough=yes protocol=udp \
    src-address="Ваша подсеть"
add action=mark-packet chain=prerouting connection-mark=youtube_conn \
    disabled=yes new-packet-mark=youtube_packet passthrough=yes src-address=\
    "Ваша подсеть"


/ip firewall filter
add action=drop chain=forward comment="Block Black Sites" disabled=no \
    packet-mark=youtube_packet