Блокировка youtube в RouterOs

Обсуждение ПО и его настройки
mt1974
Сообщения: 4
Зарегистрирован: 11 сен 2018, 10:05

Всем привет,
Приобрел себе RB2011UiAS-IN. Основная цель - фильтрация детского траффика.
Попробовал заблокировать youtube следующим образом:

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*$"

/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn assthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

После чего сдвинул правила почти на самый верх. Но ничего не получилось - youtube доступен.

Если не сложно, подскажите пожалуйста в чем я ошибся!

ДТ


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Не мучайте l7, используйте адреслисты.


mt1974
Сообщения: 4
Зарегистрирован: 11 сен 2018, 10:05

Пробовал примерно так:

/ip firewall address-list add list=BlockedSites address=youtube.com disabled=no
/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment="BlockedSites" disabled=no

Почему то тоже мимо кассы (


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Добавьте еще www.youtube.com и правило фаервола в самый вверх для проверки. Проверял "на своей шкуре", все отрабатывает 100%.
Не забывайте, фаервол блокирует новые соединения, если соединение уже установлено, то оно продолжит работать, поэтому как минимум во время проверки закрывайте браузер перед изменениями конфигурации, что бы закрылись соединения.


mt1974
Сообщения: 4
Зарегистрирован: 11 сен 2018, 10:05

Спасибо, попробую!


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

И я сразу не увидел, у вас ошибка в правиле фаервола, надо блокировать dst-address-list, а не src-address-list и протокол указывать не обязательно, так будут блокироваться все типы соединения.


mt1974
Сообщения: 4
Зарегистрирован: 11 сен 2018, 10:05

Ура!!! Спасибо!!!)))


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да он и верхний способ должен работать, просто перед проверкой надо соединения все сбрасывать, там же метит только новые, а все уже установленные и дочерние будут разрешены до сброса)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

можно еще добавить в микротике маршрут на ютуб, где в качестве шлюза будет ip локалки. Дальше роутера ничего не уйдёт.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

vbsev писал(а): 13 сен 2018, 17:38 можно еще добавить в микротике маршрут на ютуб, где в качестве шлюза будет ip локалки. Дальше роутера ничего не уйдёт.
Это-то еще зачем, если и так дропнули соединение? Не стоит совершать лишние телодвижения с тем, чтобы потом при какой-то мелкой проблеме копаться в куче лишнего кода. Оптимизация - наше всё.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить