Добрый день. RouteOS 6.20, модель rb951g-2hnd
Создаю правила:
1. /ip firewall layer7-protocol add name=soc regexp="^.+(vk.com|vkontakte|odnoklassniki|vk|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
и
2. /ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=soc
но одноклассники и вконтакте продолжают работать, и видно, что пакеты не идут через это правило, а если в регулярном выражении просто написать vk? тогда весь трафик перестает идти, похоже, что само правило FireWall-a работает, но что-то не так с регулярным выражением.
Кто знает решение этой проблемы?
Не фильтруются пакеты в Layer7
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Вы правило вверх поднимите, выше разрешающих и всё заработает. Во всяком случае должно...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 36
- Зарегистрирован: 31 окт 2014, 14:37
добавьте в начале
^.*(get|GET).+
и работает
^.*(get|GET).+
и работает
-
- Сообщения: 15
- Зарегистрирован: 21 май 2013, 14:45
Ничего не помогают, пишут, что: Важное условие: Mikrotik должен выступать в роли DNS-сервера.
http://wel.org.ua/mikrotik-2/%D0%BA%D0% ... 0%BB%D0%B0
Это действительно так важно?
http://wel.org.ua/mikrotik-2/%D0%BA%D0% ... 0%BB%D0%B0
Это действительно так важно?
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
ДНС ни причем. 7 уровень работает уже тогда, когда непосредственно данные передаются, то есть имя уже разрешено.
^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$
Вот эта строка точно работает. Сейчас проверил. И даже ДНС менял на компе ради интереса.
^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$
Вот эта строка точно работает. Сейчас проверил. И даже ДНС менял на компе ради интереса.
-
- Сообщения: 15
- Зарегистрирован: 21 май 2013, 14:45
Спасибо, теперь все работает.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Правда про DNS я не уверен, правило может и раньше сработать.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Ребят, один момент, 5 букв: 'HTTPS', и ваше правило гуляет дальше.
Достаточно набрать: 'https://vk.com/' и всё откроет. Почему? - потому что https трафик шифруется.
Так что гарантированно можно зарубить СС только на уровне пула IP адресов этих сетей. Проще, но менее надёжно, - на уровне DNS сервера микротика.
Достаточно набрать: 'https://vk.com/' и всё откроет. Почему? - потому что https трафик шифруется.
Так что гарантированно можно зарубить СС только на уровне пула IP адресов этих сетей. Проще, но менее надёжно, - на уровне DNS сервера микротика.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Да это понятно.
Вопрос задали, я у себя попробовал и ответил.
В принципе может еще куда пригодится. А в целом вопросы блокировок - это тема отдельной диссертации.
Вопрос задали, я у себя попробовал и ответил.
В принципе может еще куда пригодится. А в целом вопросы блокировок - это тема отдельной диссертации.