Проблемы с блокировкой vk.com

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

Добрый день, друзья! Помогите решить проблему, у меня в фаерволе имеется три основных правила:
/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=ether1-gateway

+ маскарадинг в НАТе.
Интернет вроде работает.
Далее создаю адресс лист white_list с двумя ip адресами моего компа и второго сотрудника.
создаю следующее правило:
add chain=forward action=reject reject-with=tcp-reset protocol=tcp src-address-list=!white_list content=vk.com

Пробую зайти с любых компов - VK не работает. Пробую зайти со своих компов, из белого списка, открывается только страница vk.com/feed и то, раз-через-раз. Ни одна другая вкладка не открывается.
Подскажите, как настроить список исключений, чтобы правило не действовало на несколько ip в сети?

PS: У меня router os x86 на компе с двумя сетевыми картами, одна на провайдера, вторая в локальную сеть.
версия os: 6.34.2


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте двумя правилами:


сначала для бело листа accept,
а потом второе правило для все остальных reject.

Разрешающее должно быть выше запрещающего.

А вообще-то VK открывается, если все эти правила убрать, может какие другие проблемы???


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, забыл, а зачем reject??? Drop!!!


Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

gmx писал(а):Да, забыл, а зачем reject??? Drop!!!

Когда ставишь Дроп, то браузер у клиентов долго думает, крутит там, ждет...
А когда реджект и тсп сброс, то шлюз отвечает на зпрос отказом, и браузер моментально показывает клиенту, что страница недоступна.
По поводу двух правил, я сейчас попробую, позже отпишусь.
ps: без блокировок сайт прекрасно открывается, и все работает.


Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

Изменил правило блокировки и создал новое с разрешением для белого листа, вот что получилось:
Разрешающее правило:
chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com log=yes log-prefix="vk.allow"
и запрещающее правило:
chain=forward action=reject reject-with=tcp-reset protocol=tcp content=vk.com log=yes log-prefix="vk.reject"

Создание двух правил не помогло. Теперь с компов из white_list не получается зайти в vk.com пишет "Страница не доступна"


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Иными словами запросы компов, которые в белом листе, не попадают под действие разрешающего правила.
Вы уверены, что все правильно написали?

Там у вас еще наверное куча всяких правил в фаерволле, которые перехватывают пакеты раньше.

Вот специально проверил:
add action=drop chain=forward content=vk.com protocol=tcp src-address=192.168.77.115
add chain=forward content=vk.com protocol=tcp src-address=192.168.77.10

Все прекрасно работает.

1. Временно выключите все (!!!) правила фаерволла.
2. Убедитесь, что на компах, которым вы хотите разрешить/запретить шлюзом является микротик.
2. Добавьте два простых правил, как я написал выше (со своими IP) и поверьте.

Ну, а дальше развивайте все это как хотите.


Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

gmx писал(а):Иными словами запросы компов, которые в белом листе, не попадают под действие разрешающего правила.
Вы уверены, что все правильно написали?

Там у вас еще наверное куча всяких правил в фаерволле, которые перехватывают пакеты раньше.

Вот специально проверил:
add action=drop chain=forward content=vk.com protocol=tcp src-address=192.168.77.115
add chain=forward content=vk.com protocol=tcp src-address=192.168.77.10

Все прекрасно работает.

1. Временно выключите все (!!!) правила фаерволла.
2. Убедитесь, что на компах, которым вы хотите разрешить/запретить шлюзом является микротик.
2. Добавьте два простых правил, как я написал выше (со своими IP) и поверьте.

Ну, а дальше развивайте все это как хотите.


Я попробую сделать как вы рекомендуете. Но боюсь проблема в другом. У меня есть одно правило на блокировку Vber в локальной сети, и в правиле стоит !10.10.10.96 (это мой комп) все работает отлично. Но когда требуется исключение более, чем для одного ip, приходится использовать адресс_лист, и вот с ними уже правила не работают.


Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

Именно как у вас создал правила, указав только свой ip, все работает, отключаю разрешающее правило - не работает. все как надо.
Далее изменил в этих правилах Src.Address - убрал значение, а в поле Src.Address list = white_list

chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com

chain=forward action=drop protocol=tcp src-address-list=!white_list content=vk.com

в таком виде правила не работают. То есть, блокируют vk для всех.

PS: все другие правила отключил, кроме трех разрешающих, что указывал в первом посте.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте удалить и создать лист заново.


Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

gmx писал(а):Попробуйте удалить и создать лист заново.

Вечером переустановлю все настройки.
Попробуйте у себя создать правила с использованием адресс_листа. Будет у вас работать?

chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com

chain=forward action=drop protocol=tcp src-address-list=!white_list content=vk.com


Ответить