Блокировка расширений файлов

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
likhenko
Сообщения: 4
Зарегистрирован: 19 ноя 2015, 17:20
Контактная информация:

28 авг 2017, 14:25

Всем привет,
упал на мои плечи роутер ССR1009-8g-1s-1s+tile с прошивкой MikroTik RouterOS 6.40.2 (сеть на 50+ юзеров)
Опыта работы с таким зверем нет. Но пытаюсь как-то разобраться в основах.

Пока стоит цель заблокировать торренты и вот наткнулся на статью по блокировке расширений файлов, можно поблочить всякие скрипты и тд, правда я еще не совсем понял, работает ли оно на https скоро же все сайты на нем будут.
статья по блокировке расширений https://habrahabr.ru/post/321408/
статья по блокировке торентов https://habrahabr.ru/sandbox/65236/

Статья вроде как понятная, но абсолютно не понятно как это все дело организовать и очень желательно не с терминала, а через winbox, чтобы имел понятие что делаю.
Поиском по форуму прошелся, но как-то ничего на глаза путнего не попалось.

Если кто может помочь, был бы очень признателен.
Пока я сделал бекап настроек микротика и файлик сохранил еще на комп :)
А и еще тут насколько я понял, открыты все порты наружу для легальных соединений, а я бы хотел закрыть все кроме определенны разрешенных, так же правильней, да?


gmx
Сообщения: 2124
Зарегистрирован: 01 окт 2012, 14:48

29 авг 2017, 08:57

Безопасность и блокировки в сети - это комплексный подход, а не только проблема микротика.
Невозможно решить эти проблемы только при помощи микротика.

Пользователи не должны иметь возможность менять сетевые настройки, самостоятельно ставить программы на компьютер и так далее... и тогда для блокировок будет достаточно днс фильтрации.

Да, порты по-умолчанию все открыты. Закрытие портов даёт результат до поры до времени. Торрент клиенты умеют работать по нестандартным портам, а также по другим стандартным, так же умеют делать аннонимайзеры и впн клиенты. Закрытие портов - это полумера, которая не даёт гарантированного результата. Только комплекс мер позволит достичь результата.


Аватара пользователя
likhenko
Сообщения: 4
Зарегистрирован: 19 ноя 2015, 17:20
Контактная информация:

29 авг 2017, 16:27

gmx писал(а):Безопасность и блокировки в сети - это комплексный подход, а не только проблема микротика.
Невозможно решить эти проблемы только при помощи микротика.
Пользователи не должны иметь возможность менять сетевые настройки, самостоятельно ставить программы на компьютер и так далее... и тогда для блокировок будет достаточно днс фильтрации.
Да, порты по-умолчанию все открыты. Закрытие портов даёт результат до поры до времени. Торрент клиенты умеют работать по нестандартным портам, а также по другим стандартным, так же умеют делать аннонимайзеры и впн клиенты. Закрытие портов - это полумера, которая не даёт гарантированного результата. Только комплекс мер позволит достичь результата.

Ну так я с Вами согласен.
вчера в настройках dhcp прописал днс нортона https://dns.norton.com/configureRouter.html с максимальной защитой.
закрыть торенты хочу потому что у нас на 50+ человек всего лишь 20-30 мегабит канал, а торренты укладывают инет только так.
ну и нас 99% пользователей не будут менять статику или ковыряться в настройках программ или обходить блокировку. (я из Украины, у нас в блокировке только пару соц сетей и яндекс с мейлру, при чем сами эти сервисы в мобильных приложения хобходят блокировку, так что народ не парится вообще, доступа нет только в браузерах на компьютере и то это решается в один клик и цель у нас не стоит мешать им этим пользоваться)
У нас десяток людей работают на своих личных ноутах, и пускай они не качают торренты в рабочее время, но иногда активно раздают, просто не выключив его.
А я могу это дело закрыть и забыть и всем станет легче с инетом

а вот запретить скачивания по расширениям файлов, тоже нужная штука, есть тут уникумы, которые просто не понимают, что мир изменился и что не нужно скачивать бланк.docx.ехе
и очень туго с ними приходится. Я вот для себя хочу чуть упросить жизнь, если настройка на микротике чуть поможет не скачать троян, то оно того стоит


gmx
Сообщения: 2124
Зарегистрирован: 01 окт 2012, 14:48

29 авг 2017, 17:06

Я вас разочарую - эффективного способа блокировки торрента на микротике нет.

Пробуйте закрывать все порты, кроме нужных, но это точно не «один раз настроил забыл», так и будете постоянно нужные порты открывать.

И сразу предвосхищаю события: не будет фильтр L7 отрабатывать трафик https.


Аватара пользователя
likhenko
Сообщения: 4
Зарегистрирован: 19 ноя 2015, 17:20
Контактная информация:

29 авг 2017, 17:37

блин, действительно разочаровали
Раз торренты не заблокировать, вариант уменьшить количество пакетов и соединений и скорость загрузки-отдачи для торрентов - такое можно организовать на микротике?

про фильтр по блокировке файлов по расширениям можно забыть. Это я уже понял.

И еще вопрос, днс нортона хорошо порезали сайты, но все равно многие пропускают, есть может еще какое решение? Кто встречал, подскажите пожалуйста.
Залезть винбоксом открыть порт, это не проблема как по мне. По началу будет часто, а потом все реже и реже.


gmx
Сообщения: 2124
Зарегистрирован: 01 окт 2012, 14:48

29 авг 2017, 18:07

Что касается dns фильтрации, то в России есть SkyDns, но как он будет работать на Украине - это лучше у них в техподдержке спросить.

Ещё почитайте здесь http://www.technotrade.com.ua/Articles/ ... _limit.php


KARaS'b
Сообщения: 697
Зарегистрирован: 29 сен 2011, 09:16

29 авг 2017, 18:13

Посмотрите в сторону Queue Tree, им нарежете скорость поровну и качальщики пусть и будут качать, но не будут мешать остальным. Баловался этой штукой в одном отеле на канале всего в 20 мегбаит, из которых для гостей было доступно всего 10, с постоянно висящими в среднем 50ю клиентами только в гостевой сети.


Аватара пользователя
likhenko
Сообщения: 4
Зарегистрирован: 19 ноя 2015, 17:20
Контактная информация:

01 сен 2017, 12:38

спасибо всем за комментарии.
склоняюсь к варианту -маркировать торрент трафик и его ограничить жестко. Так чтоб отпало желание качать что-то большое. А маленькое пускай.
раздачу ограничить чуть ли не в ноль.

осталось найти толковую инструкцию для чайников :)


Ответить