Блокировка "youtube" проблема

Обсуждение ПО и его настройки
Ответить
x4m
Сообщения: 8
Зарегистрирован: 27 фев 2017, 13:03

При блокировке "youtube" с помощью add DN to address-lists+правило на сброс соединения , выяснилось что сервера "youtube" делят IP c "google docs". Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google. Да L7 пробовал, ситуация примерно идентична только со временем дальше поисковой машины google уйти нельзя :ne_vi_del: . Спасибо.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Например добавить статическую запись в ДНС которая будет ссылатся на несуществующий адрес или на тот же 127.0.0.1


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Cheredov
Сообщения: 4
Зарегистрирован: 29 янв 2018, 07:53
Контактная информация:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Вот это мега адский костыль :co_ol:


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Cheredov
Сообщения: 4
Зарегистрирован: 29 янв 2018, 07:53
Контактная информация:

А добавление статической записи в ДНС чем поможет, если у юзера указан другой ДНС?
[UPD] Хотя можно пакеты на 53 порт направить на свой ДНС...
Ну в общем с записью в ДНС проще, но в случае запрета для конкретного ip или mac уже не выйдет.


maxkerch
Сообщения: 9
Зарегистрирован: 11 янв 2016, 23:35

x4m писал(а): 10 фев 2018, 15:42 Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);

попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com


x4m
Сообщения: 8
Зарегистрирован: 27 фев 2017, 13:03

vqd писал(а): 10 фев 2018, 21:04 Например добавить статическую запись в ДНС которая будет ссылатся на несуществующий адрес или на тот же 127.0.0.1
Забыл упомянуть, клиенты в адрес листах поделены на две группы с полным и ограниченным доступом, но если создать дополнительную под-сеть на полный доступ или руками DNS ввести на клиенте :co_ol: , но для меня это крайность. Буду знать. Спасибо.

Cheredov писал(а): 11 фев 2018, 09:57 /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src
Тестирую, резать начинает с задержкой, но работает как нужно. Спасибо.
maxkerch писал(а): 11 фев 2018, 20:04
x4m писал(а): 10 фев 2018, 15:42 Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);

попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
Почему-то как только в правиле указываю адрес-лист клиентов с ограничениями, перестает работать.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

maxkerch писал(а): 11 фев 2018, 20:04
x4m писал(а): 10 фев 2018, 15:42 Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);

попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
Почему-то как только в правиле указываю адрес-лист клиентов с ограничениями, перестает работать.
Попробовал и с адреслистом и с прям ip, оба варианта работают.

Важно! При проверке, особенно после неудачи, перед следующей попыткой, обязательно рвите соединения и перезапускайте браузер, бо, во-первых, правило дропает новые соединения, а у вас уже установленное, во-вторых, очень вероятно, что даже после удачной отработки правила браузер вам может показать кэшированную страницу и вы будете думать, что ничего не получилось.


petr.famin
Сообщения: 3
Зарегистрирован: 12 ноя 2018, 16:53

maxkerch писал(а): 11 фев 2018, 20:04
x4m писал(а): 10 фев 2018, 15:42 Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);

попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com

Прошивка 6.42.7

Добавил ваше правило, все равно не работает блокировка, куда копать? http://prntscr.com/lhdz8v


Ответить