Блокировка "youtube" проблема
-
- Сообщения: 8
- Зарегистрирован: 27 фев 2017, 13:03
При блокировке "youtube" с помощью add DN to address-lists+правило на сброс соединения , выяснилось что сервера "youtube" делят IP c "google docs". Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google. Да L7 пробовал, ситуация примерно идентична только со временем дальше поисковой машины google уйти нельзя . Спасибо.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Например добавить статическую запись в ДНС которая будет ссылатся на несуществующий адрес или на тот же 127.0.0.1
Есть интересная задача и бюджет? http://mikrotik.site
- Cheredov
- Сообщения: 4
- Зарегистрирован: 29 янв 2018, 07:53
- Контактная информация:
/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
- Cheredov
- Сообщения: 4
- Зарегистрирован: 29 янв 2018, 07:53
- Контактная информация:
А добавление статической записи в ДНС чем поможет, если у юзера указан другой ДНС?
[UPD] Хотя можно пакеты на 53 порт направить на свой ДНС...
Ну в общем с записью в ДНС проще, но в случае запрета для конкретного ip или mac уже не выйдет.
[UPD] Хотя можно пакеты на 53 порт направить на свой ДНС...
Ну в общем с записью в ДНС проще, но в случае запрета для конкретного ip или mac уже не выйдет.
-
- Сообщения: 9
- Зарегистрирован: 11 янв 2016, 23:35
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);
попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
-
- Сообщения: 8
- Зарегистрирован: 27 фев 2017, 13:03
Забыл упомянуть, клиенты в адрес листах поделены на две группы с полным и ограниченным доступом, но если создать дополнительную под-сеть на полный доступ или руками DNS ввести на клиенте , но для меня это крайность. Буду знать. Спасибо.
Тестирую, резать начинает с задержкой, но работает как нужно. Спасибо.Cheredov писал(а): ↑11 фев 2018, 09:57 /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src
Почему-то как только в правиле указываю адрес-лист клиентов с ограничениями, перестает работать.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Попробовал и с адреслистом и с прям ip, оба варианта работают.Почему-то как только в правиле указываю адрес-лист клиентов с ограничениями, перестает работать.
Важно! При проверке, особенно после неудачи, перед следующей попыткой, обязательно рвите соединения и перезапускайте браузер, бо, во-первых, правило дропает новые соединения, а у вас уже установленное, во-вторых, очень вероятно, что даже после удачной отработки правила браузер вам может показать кэшированную страницу и вы будете думать, что ничего не получилось.
-
- Сообщения: 3
- Зарегистрирован: 12 ноя 2018, 16:53
Прошивка 6.42.7
Добавил ваше правило, все равно не работает блокировка, куда копать? http://prntscr.com/lhdz8v