Block соцсетей DNS vs IP на mikrotik rb951ui-2hnd

Обсуждение оборудования и его настройки
Аватара пользователя
HotBeer
Сообщения: 20
Зарегистрирован: 16 ноя 2016, 13:36
Откуда: Югорск
Контактная информация:

Ок, спасибо за ответы.


Аватара пользователя
HotBeer
Сообщения: 20
Зарегистрирован: 16 ноя 2016, 13:36
Откуда: Югорск
Контактная информация:

gmx писал(а):Да, и level 7 никак не сможет отфильтровать https. Это невозможно.

А что скажете по этому поводу?
corlovito;7377417 писал(а):https таким образом не обрежешь

corlovito;7377822 писал(а):вы уверены что дополнительно ничего в сети не используется для блокировки https и что точно на 443 порт обращение идет ? если действительно микротиком можно https рубить этож круто, но что-то не верится

WhoBadWolf;7377872 писал(а):про wiki вы не тот пример посмотрели, там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет.

corlovito;7377948 писал(а):хм... подтверждаю работает спасибо


Сразу скажу микротика под рукой сейчас нет, чтобы проводить эксперименты (хотя конечно виртуалку можно залить)
Последний раз редактировалось HotBeer 18 ноя 2016, 08:10, всего редактировалось 1 раз.


Аватара пользователя
HotBeer
Сообщения: 20
Зарегистрирован: 16 ноя 2016, 13:36
Откуда: Югорск
Контактная информация:

podarok66 писал(а):Там всего 10 страничек, 4 минуты максимум. Неужели вы настолько заняты?

Пошел читать:)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

/ip/firewall/layer7-protocol add name=vk_com regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"
/ip/firewall/filter add action=drop chain=forward layer7-protocol=vk_com out-interface=internet src-address-list=vk.com_block

В защиту топикстартера - может я чего то не понимаю, или не правильно проверяю, но вот эта штука действительно работает, даже для https! Только я не понял зачем в ней "src-address-list=vk.com_block", откуда взяться этому листу, если он не создавался? Сделал без нее и вуаля!
Все заработало, до vk не достучаться даже по https. При этом сделал запрос в яндексе - vk.com, и страница поиска свободно отобразилась, зашел на сайт работающий без https где есть вход через вк, страница тоже отобразилась, поиском этого сайта поискал на нем же vk.com и страница прогрузилась, попытался зайти на этом сайте через vk и не смог, отключил правило и все заработало. Так что похоже способ то действенный. Единственное, интересует вопрос в каком формате идет вот эта вещь ^.*(\x76\x6b\.\x63\x6f\x6d).*$ ? Как допустим к такому же виду привести одновкласников и прочие фейсбуки?)


Аватара пользователя
HotBeer
Сообщения: 20
Зарегистрирован: 16 ноя 2016, 13:36
Откуда: Югорск
Контактная информация:

KARaS'b писал(а):
/ip/firewall/layer7-protocol add name=vk_com regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"
/ip/firewall/filter add action=drop chain=forward layer7-protocol=vk_com out-interface=internet src-address-list=vk.com_block

В защиту топикстартера - может я чего то не понимаю, или не правильно проверяю, но вот эта штука действительно работает, даже для https! Только я не понял зачем в ней "src-address-list=vk.com_block", откуда взяться этому листу, если он не создавался? Сделал без нее и вуаля!
Все заработало, до vk не достучаться даже по https. При этом сделал запрос в яндексе - vk.com, и страница поиска свободно отобразилась, зашел на сайт работающий без https где есть вход через вк, страница тоже отобразилась, поиском этого сайта поискал на нем же vk.com и страница прогрузилась, попытался зайти на этом сайте через vk и не смог, отключил правило и все заработало. Так что похоже способ то действенный. Единственное, интересует вопрос в каком формате идет вот эта вещь ^.*(\x76\x6b\.\x63\x6f\x6d).*$ ? Как допустим к такому же виду привести одновкласников и прочие фейсбуки?)


Продолжение обсуждения этой тему тут
viewtopic.php?f=1&t=6599&start=90


Ответить