Блокировка youtube в RouterOs

[vbsev]

Это-то еще зачем, если и так дропнули соединение? Не стоит совершать лишние телодвижения с тем, чтобы потом при какой-то мелкой проблеме копаться в куче лишнего кода. Оптимизация - наше всё.

Маршрут на локалхост (127.0.0.1) у меня никогда не вызывал трудностей понимания.
Я предлагаю варианты. На мой взгляд, так проще, чем разбираться с фаирволом.

И уж тем более не рассказываю о правилах в Raw - хотя так будет значительно легче для роутера.

[podarok66]

Перестаньте выкручиваться Мы же не дети. Вот это

можно еще

не вариант, а довесок, причём ненужный. Про RAW вообще речи не шло, потому как мы же метим соединения, что исключает RAW как бы.

А с фаерволом разбираться нужно в любом случае, независимо от желаний. В противном случае непонятно, зачем человеку вообще Микротик, хватило бы и Длинка сотки. ТС как раз желает разобраться, а не вилять хвостом, как некоторые.

[vbsev]

Я согласен, что с фаирволом разбираться нужно.

Я согласен с Вами, что эти 2 варианта не подходят, если метится трафик, просто предложил альтернативные
варианты блокировки трафика, менее затратные для CPU роутера.

И, коль мы тут затронули тему изучение микротика - эти два варианта (роутинг на локалхост и RAW)для общего развития не помешают. А, может быть, вызовут дальнейший интерес для изучения.

[KARaS'b]

Я согласен с Вами, что эти 2 варианта не подходят, если метится трафик, просто предложил альтернативные
варианты блокировки трафика, менее затратные для CPU роутера.

Немного офтопа, но сдержаться не могу.
Так случилось, что вчера (или позавчера) увидел целый набор ваших сообщений, два из которых были в темах где успел побывать я и оба раза, на мой взгляд, вы давали советы, которые больше похожи на "костыли". Я не знаю, в чем причина таких советов, учитывая, что вы даете их как альтернативу, зная при этом про существование "нормальных" вариантов решения, но у вас, на мой взгляд, мания насоветовать "плохое". И что бы не быть голословным, уточню по обоим пунктам:
1) Касаемо этой темы, что бы завернуть маршрут до ютуба, на некий "Loopback" адрес, его как минимум надо сначала запихнуть в адрес лист, дальше "пометить" манглом и уже потом создать сам маршрут. О каком уменьшении нагрузки, по сравнению с фаерволом может идти речь, если мы "мети" трафик? И это не говоря о том, что сам по себе вариант более чем костыль, хотя бы по причине кучи лишних телодвижений, результатом которых будет настройка совершенно несвязанной функции оборудования с задачей для которой уже и так есть инструмент.
2) В теме с пробросом второго провайдера до сервера, ваш вариант с EoIP это тот еще костыль, вместо пары кликов для создания влана, вы советуете человеку наплодить адресов, поднять этот самый EoIP и дальше сделать все тоже, что требуется в варианте с вланом, при этом еще и утверждаете, что это проще.

Я не хочу ругаться, или как-то вас оскорбить и оспаривать ваши советы, это ваше личное дело, но мне очень хотелось бы понять, для чего вы это делаете? Показать, что вам известны и другие варианты? Так мы тут вроде не "меряемся" ничем и ни пред кем. Но вопрошающие приходят сюда не для того, что бы посмотреть кто круче, они приходят учиться и решать свои проблемы, за что вы их так "с порога" не любите и даете им такие советы и примеры решения их проблем?

[vbsev]

Отвечаю:

1) Чтобы заблокировать весь ютуб ничего не надо маркировать. Никаких манглов и т.д.
Достаточно в таблице маршрутизации одним правилом ютуб завернуть в никуда.
Причем микротик даже сам будет ip адрес резольвить.
Для CPU rb2011 - это значительно легче, чем оперировать метками и правилами firewall

Ещё более правильным, на мой взгляд, было бы заблокировать его правилом в Raw.
Так как, в выше указанной схеме, это правило будет выполняться до обработки соединений.

В данном случае, я аргументировал свои советы меньшей нагрузкой на CPU.
Объясните мне, почему этот совет не правильный или костыльный?

2) Ещё раз, пожалуйста, почитайте ветку. Там нигде я не написал слово "проще" и, тем
более, что я что-то утверждал.
Плодить адресов не надо, они уже прописаны на интерфейсах.
И в тексте не написано, что находится между микротиками, я предположил, что
в случае проблематичности прокидывания vlan-а можно воспользоваться EoIP.
Как, в конечном варианте, оказалось перед сервером стоит ещё коммутатор о котором, кстати, ни слова в 1 посте. Поэтому вариант не пригодный, о чём сразу написал.
К тому же EoIP я не считаю костылём, туннелей с L2 можно посчитать по пальцам 1 руки.

3) У меня в мыслях не было с кем-то чем-то мериться. Это форум, на котором
дают советы или готовые решения все желающие. Свои советы я стал давать после того,
как сам задал вопрос и не увидел на него ответа.
Если сообщество посчитает мои советы не жизнеспособными - я удалю аккаунт.

[podarok66]

Если сообщество посчитает мои советы не жизнеспособными - я удалю аккаунт.

Так, вот не надо в позу становиться. Тут каждый имеет своё мнение. Если после каждого спора удалять акки, то проще сразу запретить себе интернет вообще.
По поводу настроек и вашего варианта. Вы поймите, большая часть старожилов гоняет Микротики на работе и дома не один год. Для многих - они часть рабочего процесса. При такой массе однотипных железок индивидуальный подход к правилам приведет к мозговому коллапсу. Поэтому вырабатывается определенная схема, удобная в какой-то части рабочих ситуаций. И вот представьте, что к пресловутому Youtube в какой-то из клиентских контор требуют добавить все социальные сети, ещё полтора десятка сайтов. Маршрутами будет очень накладно прописывать. А если метить пакеты , то какой смысл лезть в маршрутизацию. Ведь через какое-то время может поступить заказ на разграничение доступа по группам, где кому-то доступ дадут, кому-то нет. Фаервол значительно более гибкий инструмент, он позволяет многое, в том числе и кучу оговорок. Маршруты просты, как рельса и столь же жесткие. Тут уже сложно что-то оговорить в процессе настройки.
Про EoIP - не самый однозначный вариант. Да ещё и достаточно нагружающий железки. И пропускная способность может сильно упасть. Я их избегаю без сильной нужды.

[vbsev]

Никаких поз. Я уже далеко не мальчик такой ерундой заниматься. Только чистый прагматизм.
Скажем так, я не первый год тоже на него смотрю. Но не считаю себя великим гуру. А на счет raw - я выдал Вам информацию, полученную от тренера, воочию убедившись в этом на MTCTCE. В данном случае ничего не изобретал, а передавал полученный опыт от других. По поводу дополнительных ресурсов, подлежащих блокировке - никаких проблем. Создаёте Address List и
прописываете там нужные адреса. После чего указываете этот список в advanced правила raw. Всё просто.

Я соглашусь, на счёт EoIP, но поймите и меня, в условии задачи не было схемы, она появилась потом.
Помятуя радиомосты и массу другого оборудования, находящиеся между микротиками в одном из местных провайдеров, из личного опыта предложил свой вариант. Так чуть не казнили за него. К тому же сразу внёс коррективы, после дополнительной информации.
Ладно, на этом заканчиваю флудить. Успехов всем.

[podarok66]

Лично я подобные споры флудом ничуть не считаю. Из таких тем можно почерпнуть много чего интересного. Теперь по вашим строкам.
Если без меток, просто адрес-листами блокировать, да, RAW вполне применим. Но так как блокировка даже сотни различных адресов - это просто минимальнейшая часть работы фаервола, то и разгрузка будет настолько же мала. Если вот какие-то масштабные потоки на пределе пропускной способности регулировать, тогда весьма ощутимый будет результат. Вот тот MUM, с которого я картинку брал.
https://mum.mikrotik.com/presentations/ ... 410534.pdf
Язык правда индонезийский, но там большая часть интуитивно ясна. Как раз чел даёт сравнительный анализ FastPath, FastTrack и RAW. Я с большим интересом просмотрел и даже отдельные моменты гуглпереводчиком переводил.
Смотрите, какой поток он грузит через маршрутизатор.
Про EoIP никто вас не казнил. Просто все мы рано или поздно с этим протоколом сталкиваемся. И как-то не очень я вижу его распространение. Причины я приводил.
Так что давайте спорить, ведь мы по делу бодаемся, а не ради спора. И может и родим, если не истину, то что-то к ней близкое. Кстати, гуру и я себя никогда не числил. И ошибаюсь я едва ли не чаще всех старожилов. Главное, научится признавать ошибки. Это отличает взрослых.

[vbsev]

Хорошо.
По 1 пункту.
Вернёмся к постановке задачи.
Человеку надо блокировать контент нежелательный для детей.
RB2011- с одноядерным процом 600 мегагерцовым.. По сравнению с gr3 и ac2 не самый выдающийся.

Исходя из производительности и поставленной задачи, для фильтрации контента для детей, лично я поставил бы раздачу днс 77.88.8.7 и 77.88.8.3 https://dns.yandex.ru/
В raw добавил бы правило, в котором указал список с адресами для блокировки.


По второму пункту спора, вопрос однозначно решён в пользу vlan

[podarok66]

Ну вот видите, как всё складывается чудесно
Как говорил "Меченый" - консенсус. Согласен. Такие решения жизнеспособны и легко расширяемые.