Блокировка browsec

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

Добрый день, уважаемые форумчане. Подскажите пожалуйста, кто-нибудь справился с расширением для chrome "browsec"? Я ручками завел,
 
/ip firewall filter
add action=drop chain=forward comment="Block BROWSEC" dst-address=\
198.211.96.0/19 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=188.226.192.0/18 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=188.226.128.0/18 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=188.166.0.0/17 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=178.62.128.0/17 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=128.199.0.0/16 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=95.85.32.0/21 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=82.196.8.0/21 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=82.196.0.0/21 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=80.240.128.0/20 src-address=\
192.168.0.0/24
но это как-то не так...Слишком громоздко и не удобно. Можно конечно же всё забить в адреслист, но опять же адрес лист заполнится...
Раньше, год или два назад, browsec без проблем блокировался через layer7 " ^.+(postlm.com).*$ ", может кто-нибудь в курсе, возможно ли опять его дропить через layer7?
Заранее благодарю за ответы.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

TauRus_tj писал(а):но опять же адрес лист заполнится...

В смысле? У меня на машинке уже пару лет адрес-лист в несколько тысяч адресов обрабатывается без проблем. Что у вас там заполнится?
И вообще, попробуйте добавить в адрес-лист доменное имя. Вот тут обсуждали, эту плюшку ввели в 6.36


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

podarok66 писал(а):
TauRus_tj писал(а):но опять же адрес лист заполнится...

В смысле? У меня на машинке уже пару лет адрес-лист в несколько тысяч адресов обрабатывается без проблем. Что у вас там заполнится?
И вообще, попробуйте добавить в адрес-лист доменное имя. Вот тут обсуждали, эту плюшку ввели в 6.36

Ну я имел ввиду, что адрес лист в 10-20-100-1000 айпишников, вещь неудобная, за ссылку спасибо


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

TauRus_tj, если 100 не удобно, то что скажите на 30341 запись? :-):


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

TauRus_tj писал(а):адрес лист в 10-20-100-1000 айпишников, вещь неудобная

Да почему же? И в чем неудобство? У меня как раз несколько тысяч адресов и есть, неудобств не ощущаю абсолютно. Правило в фаерволе одно, то есть точка контроля одна. А число адресов - кого оно волнует.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

podarok66 писал(а):
TauRus_tj писал(а):адрес лист в 10-20-100-1000 айпишников, вещь неудобная

Да почему же? И в чем неудобство? У меня как раз несколько тысяч адресов и есть, неудобств не ощущаю абсолютно. Правило в фаерволе одно, то есть точка контроля одна. А число адресов - кого оно волнует.

Ну Вам видней) Ветка ж для начинающих, я тока разжевываю. У меня еще более 200 в адреслисте не было, и то флуд по 53 порту...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

TauRus_tj писал(а): У меня еще более 200 в адреслисте не было, и то флуд по 53 порту...

Опять не понимаю, зачем флуд по 53 порту соотносить с каким-то адрес-листом. Там как бы непредумышленные действия, связанные с особенностями микротика и DNS в целом. Заблокировали 53 порт извне да и ладно. :hi_hi_hi:
Но общем поймите, количество записей в адрес-листах практически почти никак не сказываются на нагрузке. Нам явным примером служат исследования нашего Dragon_Knight, вон у него с листе 30k+ адресов и ничего, работает железка.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

podarok66 писал(а):
TauRus_tj писал(а): У меня еще более 200 в адреслисте не было, и то флуд по 53 порту...

Опять не понимаю, зачем флуд по 53 порту соотносить с каким-то адрес-листом. Там как бы непредумышленные действия, связанные с особенностями микротика и DNS в целом. Заблокировали 53 порт извне да и ладно. :hi_hi_hi:
Но общем поймите, количество записей в адрес-листах практически почти никак не сказываются на нагрузке. Нам явным примером служат исследования нашего Dragon_Knight, вон у него с листе 30k+ адресов и ничего, работает железка.

ясно, адреслист сделал на флуд, чтобы потом провайдеру скинуть/показать
По теме сделал так:
 
/ip firewall address-list
add address=80.240.128.0/20 list=browsec.com
add address=82.196.0.0/21 list=browsec.com
add address=82.196.8.0/21 list=browsec.com
add address=95.85.32.0/21 list=browsec.com
add address=128.199.0.0/16 list=browsec.com
add address=178.62.128.0/17 list=browsec.com
add address=188.166.0.0/17 list=browsec.com
add address=188.226.128.0/18 list=browsec.com
add address=188.226.192.0/18 list=browsec.com
add address=198.211.96.0/19 list=browsec.com
/ip firewall filter
add action=reject chain=forward comment="drop Browsec for others" \
dst-address-list=LAN protocol=tcp reject-with=tcp-reset src-address-list=\
browsec.com src-port=443

работает...


Ответить