Уведомление пользователю при блокировке сайта

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
DrMini
Сообщения: 24
Зарегистрирован: 19 ноя 2017, 21:40

Доброго времени суток уважаемые гуру MikriTik.
Помогите пожалуйста решить задачу. На работе велено заблокировать социальные сети. Я их заблокировал по IP в Firewall. Задолбали по телефону вопросами почему очень нужный сайт не открывается? Придёшь, а там "в контакте" или "одноклассники" не открываются. Покажите пожалуйста на пальцах, как мне настроить чтобы при переходе на заблокированный сайт открывалась страничка с объяснением, что этот сайт заблокирован. Заранее благодарен за любую помощь.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Не дропать трафик, а перенаправлять на свой сервер, правдо в случае https могут быть ошибки сертификата.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
DrMini
Сообщения: 24
Зарегистрирован: 19 ноя 2017, 21:40

Dragon_Knight писал(а):Не дропать трафик, а перенаправлять на свой сервер, правдо в случае https могут быть ошибки сертификата.

А на пальцах и популярно не сможет ни, кто описать? В Internet`e нашёл пару похожих тем но у меня не получилось применить это для себя. Вкратце. Я понял, что надо создать свой прозрачный прокси в mikrotik`e (не знаю как это сделать) и там разместить html файл. Режется в основном только https.


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

"прозрачный прокси" - IP -> Web Proxy https не перехвтывает. только http


Аватара пользователя
DrMini
Сообщения: 24
Зарегистрирован: 19 ноя 2017, 21:40

mafijs писал(а):"прозрачный прокси" - IP -> Web Proxy https не перехвтывает. только http

В начале я написал, что блокировка сайтов ведётся в firewall и следуя логике Dragon_Knight надо не drop, а что-то другое. что переправит запрос на html файл расположенный на прокси mikrotik`a. Но знаний у меня мягко выражаясь маловато. Последний раз пробовал, как описано вот в этом посте https://habrahabr.ru/post/231103/


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так, попробуйте адаптировать давнюю идею с использованием встроенного прокси. Насколько я помню сейчас ( самой мысли лет 5, если не больше) запретный трафик не дропается, а редиректится на порт 8080. На этом порту поднимаем прокси без кэширования. Правим страничку, на которую бросает в прокси, внося свои сведения. Страница там простая, html без всяких затей. Если без закидонов, в обычном текстовом редакторе поправите. И всё, должно работать.
Если что, запрос в Гугле типа "Микротик страница заглушка" вам поможет. Например вот этот материал должен помочь https://habrahabr.ru/post/231103/


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Да причём тут микротик. Это роутер а не сервер..
Вам нужно поднять свой сервер, на отдельном компьютере (достаточно тупо апача и дефолтный хост) и все запросы редиректить туда.
Прокси на https трафик Вас не спасёт и никак не поможет.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
DrMini
Сообщения: 24
Зарегистрирован: 19 ноя 2017, 21:40

podarok66 писал(а):Так, попробуйте адаптировать давнюю идею с использованием встроенного прокси. Насколько я помню сейчас ( самой мысли лет 5, если не больше) запретный трафик не дропается, а редиректится на порт 8080. На этом порту поднимаем прокси без кэширования. Правим страничку, на которую бросает в прокси, внося свои сведения. Страница там простая, html без всяких затей. Если без закидонов, в обычном текстовом редакторе поправите. И всё, должно работать.
Если что, запрос в Гугле типа "Микротик страница заглушка" вам поможет. Например вот этот материал должен помочь https://habrahabr.ru/post/231103/

Спасибо. Буду копать в этом направлении.


Аватара пользователя
DrMini
Сообщения: 24
Зарегистрирован: 19 ноя 2017, 21:40

Dragon_Knight писал(а):Да причём тут микротик. Это роутер а не сервер..
Вам нужно поднять свой сервер, на отдельном компьютере (достаточно тупо апача и дефолтный хост) и все запросы редиректить туда.
Прокси на https трафик Вас не спасёт и никак не поможет.

Эта затея отдельного компьютера не стОит. Так, как требования начальства выполнены (сайты заблокированы). Просто хотелось оформить всё это красиво. Буду дальше копать. Время терпит. За одно и азы html изучу. Нужную страничку вчера в блокноте "нарисовал" осталось туда заумный текст вставить.


Аватара пользователя
DrMini
Сообщения: 24
Зарегистрирован: 19 ноя 2017, 21:40

Здравствуйте!
Создал Address Lists с адресами ok.ru
add address=5.61.23.11 list=OK.RU
add address=217.20.147.1 list=OK.RU
add address=217.20.155.13 list=OK.RU
add address=217.20.155.16 list=OK.RU
add address=217.20.152.234 list=OK.RU
add address=217.20.156.131 list=OK.RU
Создал правило в Filter Rules для блокировки ok.ru
add action=drop chain=forward comment=OK.ru dst-address-list=OK.RU time=7h1s-17h,mon,tue,wed,thu,fri

Помогите пожалуйста создать правило в NAT чтобы при срабатывании правила в Filter Rules (в примере для ok.ru) у пользователей открывалась например страничка:
http://mysait.ru/stop.html


Ответить