Всем привет,
Приобрел себе RB2011UiAS-IN. Основная цель - фильтрация детского траффика.
Попробовал заблокировать youtube следующим образом:
/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn assthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
После чего сдвинул правила почти на самый верх. Но ничего не получилось - youtube доступен.
Если не сложно, подскажите пожалуйста в чем я ошибся!
ДТ
Блокировка youtube в RouterOs
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Не мучайте l7, используйте адреслисты.
-
- Сообщения: 4
- Зарегистрирован: 11 сен 2018, 10:05
Пробовал примерно так:
/ip firewall address-list add list=BlockedSites address=youtube.com disabled=no
/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment="BlockedSites" disabled=no
Почему то тоже мимо кассы (
/ip firewall address-list add list=BlockedSites address=youtube.com disabled=no
/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment="BlockedSites" disabled=no
Почему то тоже мимо кассы (
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Добавьте еще www.youtube.com и правило фаервола в самый вверх для проверки. Проверял "на своей шкуре", все отрабатывает 100%.
Не забывайте, фаервол блокирует новые соединения, если соединение уже установлено, то оно продолжит работать, поэтому как минимум во время проверки закрывайте браузер перед изменениями конфигурации, что бы закрылись соединения.
Не забывайте, фаервол блокирует новые соединения, если соединение уже установлено, то оно продолжит работать, поэтому как минимум во время проверки закрывайте браузер перед изменениями конфигурации, что бы закрылись соединения.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
И я сразу не увидел, у вас ошибка в правиле фаервола, надо блокировать dst-address-list, а не src-address-list и протокол указывать не обязательно, так будут блокироваться все типы соединения.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да он и верхний способ должен работать, просто перед проверкой надо соединения все сбрасывать, там же метит только новые, а все уже установленные и дочерние будут разрешены до сброса)))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 84
- Зарегистрирован: 19 авг 2018, 09:35
можно еще добавить в микротике маршрут на ютуб, где в качестве шлюза будет ip локалки. Дальше роутера ничего не уйдёт.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Это-то еще зачем, если и так дропнули соединение? Не стоит совершать лишние телодвижения с тем, чтобы потом при какой-то мелкой проблеме копаться в куче лишнего кода. Оптимизация - наше всё.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...