Блокировка запрещённых сайтов

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Ответить
Lotar-Olaf
Сообщения: 6
Зарегистрирован: 24 июн 2019, 07:37
Откуда: Московская область

Подскажите, пожалуйста, можно ли на роутере Mikrotik блокировать доступ к сайтам, запрещённым Роскомнадзором? (Работаю сисадмином в средней школе)


Lotar-Olaf
Сообщения: 6
Зарегистрирован: 24 июн 2019, 07:37
Откуда: Московская область

Начал копать тему – пока тёмный лес. Не ясно, как получить сам список запрещенных сайтов с ресурса Роскомнадзора. А главное – как запретить на Микротике доступ не к одному сайту, а к списку из пары сотен тысяч пунктов?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Lotar-Olaf писал(а): 26 авг 2019, 09:56 Начал копать тему – пока тёмный лес. Не ясно, как получить сам список запрещенных сайтов с ресурса Роскомнадзора. А главное – как запретить на Микротике доступ не к одному сайту, а к списку из пары сотен тысяч пунктов?
1) Вы ПРОВАЙДЕР ?
2) У Вас крутое мощное железо?
3) ВЫ можете спокойно (быстро) обрабатывать список из 85.000-160.000 тысяч записей?

Не пытайтесь объять необъятное, делайте Чёрный список с 100-5000 записью и ограничивайте
по нему, но не надо всё сразу по полной.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Легальным путём Вы не получите список заблокированных ресурсов. Менее легальным: https://github.com/zapret-info/z-i ( полная копия выгрузки РКН, обновляется часто ).
Заблокировать на MT 16к доменов это ещё постижимая задача, хотя простые железки страдают при загрузке, но заблокировать более 2кк IP адресов это.. это очень сложно. Список конечно составлен максимально по ублюдстки, и его можно очень хорошо оптимизировать, удалив одинаковые IP, собрав адреса в подсети, но это по прежнему список из миллиона адресов.

Ту никто такого не делал и точно посоветовать железку не могут, но как минимум Вам нужно от 2Gb \ 4Gb на железке.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
evgeniy.chaykin
Сообщения: 1
Зарегистрирован: 28 авг 2019, 16:50

Я бы попробовал так:
1. настроил BGP по этой статье: https://habr.com/ru/post/413049/
2. В последней команде поменял бы тип на blackhole

Код: Выделить всё

/routing filter add action=accept chain=bgp_in set-type=blackhole
Мне кажется, это максимально простой вариант. Сам не проверял.


Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Lotar-Olaf писал(а): 26 авг 2019, 08:07 Подскажите, пожалуйста, можно ли на роутере Mikrotik блокировать доступ к сайтам, запрещённым Роскомнадзором? (Работаю сисадмином в средней школе)
Тогда я бы Вам посмотреть, как использовать DHCP Options или DHCP Options Set, используя метод, описанный в этой статье: https://interface31.ru/tech_it/2019/05 ... rotik.html
Это просто идея использования отдельных DNS для компов учеников.
Еще одна интересная возможность открывается в выдаче отдельным узлам своего набора опций. Следующий сценарий подойдет домашним пользователям, как достаточно простой и эффективный способ обеспечить безопасность ребенка в интернет.
Суть ее состоит в следующем: мы выборочно изменяем DNS-сервера детских сетевых устройств на безопасные DNS, например, Яндекс Семейный, SkyDNS, AdGuard и т.д. Тем, кто захочет реализовать этот сценарий в сети предприятия следует иметь ввиду, что в этом случае таким клиентам будут недоступны возможности собственного DNS-сервера

Найдите этот текст в статье и далее все увидите, как это делается.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Ответить