Запрет доступа по расписанию. Не блокируется https

Обсуждение ПО и его настройки
Ответить
SVD
Сообщения: 2
Зарегистрирован: 28 фев 2016, 13:06

Mikrotik RB2011UiAS-2HnD выступает в качестве домашнего роутера. ROS 6.34.1. Пытаюсь наладить систему ограничения доступа по расписанию для определ\нного списка mac адресов. Причина - ребёнок засиживается в сети сильно после полуночи :-):
В настоящий момент тупо используются два фильтра файервола вида
add action=reject chain=forward comment="IPHONE Irina" disabled=yes \
src-mac-address=40:33:1A:C5:31:1B
add action=reject chain=forward comment="IPAD Irina" disabled=yes \
src-mac-address=6C:94:F8:BB:C8:B3
которые включаются\отключаются через шеддулер по расписанию.
Собственно, проблема в том, что не режутся https сайты(vk.com в их числе, ага :-): ). Пробовал через mangle помечать траффик на 443 порт - траффика как будто и нет.
А сайты тем временем успешно открываются. Не пойму, в чём проблема.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Что-то не то...

Правила, которые запостили выше блокируют прохождение пакетов через роутер с определенного мак адреса. Причем блокируются все пакеты.
А то, что вы пишите дальше, относится к анализу контента - это другие правила у вас, скорее всего.

Мне не нравится action=reject, я всегда использую drop.

Вот мое реально действующее правило
add action=drop chain=forward disabled=yes src-mac-address=00:0C:30:A6:01:18

отлично работает.

Помните, что важен порядок правил.


SVD
Сообщения: 2
Зарегистрирован: 28 фев 2016, 13:06

Всё, я дурак. Тему можно закрывать. Настроил IPv6 и забыл об этом. А это ведь отдельный пакет с отдельным файерволом.
Добавил аналогичные правила в /ipv6 firewall filters и всё стало рубиться быстро и хорошо)
З.Ы. drop - это не есть хорошо. Если дропать, то браузер будет минуты 3 соображать прежде чем выдать ошибку. А вот если делать reject - то мгновенно выдаст что-то типа ERR_NETWORK_ACCESS_DENIED.


Ответить