Не фильтруются пакеты в Layer7

Обсуждение ПО и его настройки
Ответить
alex97
Сообщения: 15
Зарегистрирован: 21 май 2013, 14:45

Добрый день. RouteOS 6.20, модель rb951g-2hnd

Создаю правила:
1. /ip firewall layer7-protocol add name=soc regexp="^.+(vk.com|vkontakte|odnoklassniki|vk|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
и
2. /ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=soc

но одноклассники и вконтакте продолжают работать, и видно, что пакеты не идут через это правило, а если в регулярном выражении просто написать vk? тогда весь трафик перестает идти, похоже, что само правило FireWall-a работает, но что-то не так с регулярным выражением.

Кто знает решение этой проблемы?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вы правило вверх поднимите, выше разрешающих и всё заработает. Во всяком случае должно...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
RaZoR
Сообщения: 36
Зарегистрирован: 31 окт 2014, 14:37

добавьте в начале

^.*(get|GET).+

и работает


alex97
Сообщения: 15
Зарегистрирован: 21 май 2013, 14:45

Ничего не помогают, пишут, что: Важное условие: Mikrotik должен выступать в роли DNS-сервера.
http://wel.org.ua/mikrotik-2/%D0%BA%D0% ... 0%BB%D0%B0
Это действительно так важно?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

ДНС ни причем. 7 уровень работает уже тогда, когда непосредственно данные передаются, то есть имя уже разрешено.

^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$

Вот эта строка точно работает. Сейчас проверил. И даже ДНС менял на компе ради интереса.
:hi_hi_hi:


alex97
Сообщения: 15
Зарегистрирован: 21 май 2013, 14:45

Спасибо, теперь все работает.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Правда про DNS я не уверен, правило может и раньше сработать.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Ребят, один момент, 5 букв: 'HTTPS', и ваше правило гуляет дальше.
Достаточно набрать: 'https://vk.com/' и всё откроет. Почему? - потому что https трафик шифруется.

Так что гарантированно можно зарубить СС только на уровне пула IP адресов этих сетей. Проще, но менее надёжно, - на уровне DNS сервера микротика.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да это понятно.

Вопрос задали, я у себя попробовал и ответил.
В принципе может еще куда пригодится. А в целом вопросы блокировок - это тема отдельной диссертации.


Ответить