Russian Users MikroTik | Форум пользователей MikroTik

Уважаемые форумчане. Возникла необходимость блокирования доступа ТВ в сеть. Было создано первое правило в фаерволе которое отслеживает соединения с IP адреса ТВ и автоматом кидает их в адрес лист и второе которое смотрит за соединениями с IP адреса ТВ и в случае нахождения данного IP в адрес листе блокирует соединение Но, среди блокируемых адресов есть и те, которые не нужно блокировать. Для решения данной проблемы я добавил еще один адрес лист в который вношу исключения и дописал в первое правило Подскажите правильно ли я сделал, или можно данную проблему решить более легким путем?

maxim_minton писал(а): ↑14 сен 2019, 07:57 Уважаемые форумчане. Возникла необходимость блокирования доступа ТВ в сеть.

Если отталкиваться от этой фразы, не проще IP адрес ТВ - запретить ему NAT и всё?

Vlad-2 писал(а): ↑14 сен 2019, 09:06

maxim_minton писал(а): ↑14 сен 2019, 07:57 Уважаемые форумчане. Возникла необходимость блокирования доступа ТВ в сеть.

Если отталкиваться от этой фразы, не проще IP адрес ТВ - запретить ему NAT и всё?

Наверно я не правильно описал проблему. Есть ТВ Самсунг, он как дурной ломится по адресам половины интернета, меня это не устраивает, мне не нужно обновление прошивки, обновление приложений, удаление моих приложений которые забанены на серверах Самсунга, я хочу пользоваться только тем, чем хочу.

Т.е. мне нужно запретить ТВ свободно гулять в интернете делая что ему хочется, но список IP адресов куда он ломится постоянно меняется, и я не знаю его полностью. И если вдруг он находит как подключится к интернету, то потом на исправление всего что он там наобновляет и наудаляет у меня уходит пару часов :(

С другой стороны у меня на ТВ стоят приложения которым нужен доступ к интернету: YouTube, ForkPlayer, OTTPlayer и прочее, но к сожалению я так же не знаю полный перечень серверов куда они ходят, и пытаюсь сделать список этих серверов отлавливая момент появления в адрес листе новой записи и отсутствия коннекта у какого либо нужного приложения.

Я возможно сумбурно обьясняю, но Пушкинский слог не мой конек Посему просто выдернуть провод из ТВ это не вариант :)

Если бы всё так было просто, то давно такие функции были.
Поэтому я и зацепился за Вашу фразу.

Если телеку не нужен Интернет, но локальная сеть нужна, то это просто сделать.
А вот так, искать все узлы которые надо ограничивать и потом их для ТВ закидывать
в блок, а другие узлы как-то формировать и их явно разрешать = увы и ах.
(сделать можно, но овчинка того не стоит, да и всё может поменяться,
кстати, может на форуме по ТВ-самса есть такой список?).
В любом случаи, это не тривиальная задача.
Тот же Ютуб, у него поддоменов и субдоменов куча. Долго будете искать и описывать.

И ещё попутно вопрос, а не всё равно ли куда телек лазит?
Трафик разве не безлимитный? Мы уже на Камчатке года 3 радуемся,
и не платим за каждый мегабайт.
Ну а если не хотите обновлений, то опять - к началу, отключить Интернет.

Ну, ладно. Нет, дак нет. Будем удалять гланды через отверстие для этого не приспособленное

На форуме самса этот список есть, но он не полный, поскольку ТВ все равно как то обновляется, пусть и не сразу, но самое плохое, что он удаляет нужные мне приложения, он как то сличает их с самсунговскими на сервере и при отсутствии их в списке сервера, удаляет, я никак не могу поймать адрес этого сервера, или он постоянно меняется.

По поводу все ли равно, как по мне, то фиолетово, если он не диктует мне правила чем мне пользоваться на моем личном устройстве купленом за собственные деньги . Если бы мне Самсунг подарил ТВ, то ок. А поскольку я его купил, то хочу ставить и пользоваться тем, что мне нужно.

Трафик безлимитный, но не в нем смысл. Да и не понятно нафига телеку лазить в интернет в таких масштабах. На данный момент в адрес листе более 400!!! записей.

Ну, посмотрим, вроде бы пока все работает, будем заниматься понемногу рукоблудием, если будет интересная идея, готов её реализовать и протестировать, знания у меня конечно аховые в этой области, но попробовать всегда можно.

Кмк, тут лучше отдельный фильтрующий DNS сервер в сети организовать вроде pi-hole и организовать блокировку на нем.
Сомневаюсь, что телевизор ломится напрямую по ip-адресам.
А количество доменов, куда он лезет, скорее всего вполне конечно.
И управлять этим всем будет намного удобнее.

Ну и как бы оно не только для телека будет полезно :)

Дак это нужно ещё железяку новую покупать, это как развитие на будущее. Спасибо за идею, я про такое даже не думал.

maxim_minton писал(а): ↑14 сен 2019, 21:29 Дак это нужно ещё железяку новую покупать, это как развитие на будущее. Спасибо за идею, я про такое даже не думал.

Если весь вопрос в паре десятков доменов, куда стучится телевизор, то это и на микротике можно сделать.

Совсем другое дело, если все это использовать для блокировки рекламы и т.д., где списки под несколько сотен тысяч записей, собранные из разных источников, с автоматическими обновлениями, белыми/черными списками и прочими радостями.
Вот такое поддерживать в актуальном состоянии на микротике уже нереально.
Плюс, к тому же pi-hole можно в два счета прикрутить dns-over-https от cloudflare и обезопасить себя от того, что провайдер может слушать и/или подменять днс запросы.
Микротик это вообще не умеет пока.

Ну а «новая железяка» - это в общем-то любой одноплатник с ethernet портом, там нагрузка минимальная, если в масштабах домашней сети. Туда же кучу других полезных в домашнем хозяйстве сервисов можно повесить.

maxim_minton писал(а): ↑14 сен 2019, 21:29 Дак это нужно ещё железяку новую покупать, это как развитие на будущее. Спасибо за идею, я про такое даже не думал.

Если будете настраивать pi-hole, то вот показываю пока сжато как задать отдельно
для одного хоста данные, отличные от общего набора через DHCP сервер.



Поясню:
обычно для всей сети отдаются общие данные, шлюз, маска, ДНСы,
можно взять адрес, сделать его статичным (прибить в DHCP) и уже этот адрес
в описании сети DHCP отделить, задав в нём то, что Вам надо, включая IP адрес
будущего DNS сервера.

На картинке, я адрес 30.200 выделил, и задал что у него ДНСы внешние, Яндексовские.
На компе это после включения/выключения сетевой карты - применилось, либо
надо было обождать когда будет обновлён новый срок аренды адреса.