RB2011 Заблокировать все сайты, кроме определенных

Обсуждение оборудования и его настройки
vovansgz
Сообщения: 3
Зарегистрирован: 20 мар 2018, 17:40

20 мар 2018, 17:43

Добрый день!

Есть микротик RB2011, прошивка 6.41.3. Хочу заблокировать интернет, кроме определенных сайтов, но возникает проблема, становятся недоступны ВСЕ сайты, даже те, что разрешены.

Тестирую на своем ПК.

Создаю адрес-лист с разрешенными сайтами Allowed, например yandex.ru, google.com, google.ru. Появляются динамические IP в адрес-листе.


Создаю разрешающие правило

/ip firewall filter
add chain=forward src-address=Мой ИП dst-address-list=Allowed action=accept

Создаю запрещающие правило

/ip firewall filter

add chain=forward src-address=Мой ИП dst-address-list=!Allowed action=drop



В итоге в браузере ни один сайт не открывается, в логах микротика только сообщения о том, что NAT гоняет запросы. Менял время TTL, размер кэша, ребутил микротик, менял DNS. Если делаю пинг до сайта, который разрешен, то пинги проходят. Что я делаю не так???

Делал от обратного, то есть блокировал только определенные сайты - работает нормально. Но хочу именно разрешить только определенные сайты, так как весь инет не заблокируешь списком) ПС layer7-protocol не предлагать.


Аватара пользователя
podarok66
Модератор
Сообщения: 3017
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

20 мар 2018, 21:31

Ну например есть некий ученик, которому надо на ноут отдать лишь электронный журнал и гугловский переводчик. Делаем адрес-лист

Код: Выделить всё

/ip firewall address-list
add address=konst.eljur.ru list=eljur
add address=translate.google.ru list=eljur
Делаем правила для фильтра:

Код: Выделить всё

/ip firewall filter
add action=reject chain=forward dst-address-list=!eljur protocol=tcp reject-with=tcp-reset src-address=192.168.88.240
add action=drop chain=forward dst-address-list=!eljur protocol=udp src-address=192.168.88.240
Где 192.168.88.240 - адрес ноута. Правила вверх. Дропал udp, потому как ребенок умудрялся смотреть видюшки в ютюбе с одним верхним правилом. С двумя правилами сразу остался только вопль "Ну папа!!!"


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vovansgz
Сообщения: 3
Зарегистрирован: 20 мар 2018, 17:40

21 мар 2018, 09:35

Сделал, проверил. Часть сайтов открывается, часть в вечном вращении браузера...


Аватара пользователя
podarok66
Модератор
Сообщения: 3017
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

21 мар 2018, 10:49

Фильтр покажите полностью


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vovansgz
Сообщения: 3
Зарегистрирован: 20 мар 2018, 17:40

21 мар 2018, 11:06

Код: Выделить всё

0    ;;; Torrents files
      chain=forward action=drop dst-address-list=!admin 
      content=application/x-bittorrent log=no log-prefix="" 

 1    ;;; Acces DNS
      chain=input action=accept connection-limit=0,32 protocol=udp 
      src-address-list=dns in-interface=pppoe-out1 dst-port=53 log=no 
      log-prefix="" 
-----------------
Правила блокировки
Правило с разрешением не вывелось стоит перед ними
 2 X  ;;;                        
      chain=forward action=drop protocol=tcp src-address=192.168.2.184 
      dst-address-list=!Allowed log=yes log-prefix="" 

 3 X  chain=forward action=drop protocol=udp src-address=192.168.2.184 
      dst-address-list=!Allowed log=no log-prefix="" 

----------------
 4    ;;; DDOS DNS Блокировка флуда по днс
      chain=input action=drop protocol=udp src-address-list=!dns dst-port=53 
      log=no log-prefix="" 

 5    ;;; Block website Блокировка сайтов тем же методом, работает
      chain=forward action=drop src-address-list=!admin 
      dst-address-list=Bloksite log=no log-prefix="" 

 6    ;;; invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 7    chain=forward action=drop connection-state=invalid log=no log-prefix="" 

 8    ;;; Ports
      chain=input action=drop protocol=tcp dst-address=178.234.41.164 
      dst-port=80 log=no log-prefix="" 

9    chain=input action=drop protocol=tcp src-address=!192.168.2.0/24 
      dst-address=178.234.41.164 dst-port=23 log=no log-prefix="" 

10    chain=input action=drop protocol=tcp src-address=!192.168.2.0/24 
      dst-address=178.234.41.164 dst-port=22 log=no log-prefix="" 

11 X  chain=forward action=accept protocol=tcp dst-address=192.168.2.21 
      dst-port=6060 log=no log-prefix="" 

12 X  chain=forward action=accept protocol=tcp dst-address=192.168.2.21 
      dst-port=555 log=no log-prefix="" 

13    chain=input action=drop protocol=tcp src-address=!192.168.2.0/24 
      dst-port=3389 log=no log-prefix=""
      


vqd
Модератор
Сообщения: 3437
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

21 мар 2018, 20:17

Интересная тема.
Ну как разрешить то? Сейчас куча сайтов для работы которых нужно открыть всякие там гуглы и прочие директы.

Тобиш в моем понимании надо сидеть и анализировать какие еще запрашиваютс хосты и все это дело добавлять в белые листы


Есть интересная задача и бюджет? http://mikrotik.site
anad
Сообщения: 68
Зарегистрирован: 24 ноя 2016, 21:14

21 мар 2018, 21:02

vqd писал(а):
21 мар 2018, 20:17
Интересная тема.
Ну как разрешить то? Сейчас куча сайтов для работы которых нужно открыть всякие там гуглы и прочие директы.

Тобиш в моем понимании надо сидеть и анализировать какие еще запрашиваютс хосты и все это дело добавлять в белые листы
общее правило: разрешить можно только свои сайты, потому что чужие могут меняться,
или .. надо писать скрипт и раз в ... анализировать куда ссылаются нужные сайты.
Вообще тема запрета это тема полного DPI - микротикам это слабо, тут все же роутер, а не DPI машина.


vqd
Модератор
Сообщения: 3437
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

22 мар 2018, 05:44

Скриптом вы не реализуете анализ запросов для конкрентного сайта. Кажется мне что полноценно эта задача средствами микротик не выполнима просто ну или сидеть и вручную анализировать каждый ресурс из белого списка


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 3017
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

22 мар 2018, 18:32

В моём понимании список разрешенных сайтов - это парочка самых простых и нужных. И эту пару уж проанализировать можно. Что, собственно и было продемонстрировано на реальном примере (электронный журнал и переводчик от гугла). А делить интернет пополам на нужное и ненужное - задача оборудования провайдерского класса, а не разнесчастного роутера за 5 тыр.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
MastDon
Сообщения: 5
Зарегистрирован: 19 июл 2018, 09:45

19 июл 2018, 09:53

podarok66 писал(а):
20 мар 2018, 21:31
Ну например есть некий ученик, которому надо на ноут отдать лишь электронный журнал и гугловский переводчик. Делаем адрес-лист

Код: Выделить всё

/ip firewall address-list
add address=konst.eljur.ru list=eljur
add address=translate.google.ru list=eljur
Делаем правила для фильтра:

Код: Выделить всё

/ip firewall filter
add action=reject chain=forward dst-address-list=!eljur protocol=tcp reject-with=tcp-reset src-address=192.168.88.240
add action=drop chain=forward dst-address-list=!eljur protocol=udp src-address=192.168.88.240
Где 192.168.88.240 - адрес ноута. Правила вверх. Дропал udp, потому как ребенок умудрялся смотреть видюшки в ютюбе с одним верхним правилом. С двумя правилами сразу остался только вопль "Ну папа!!!"
Добрый день . А подскажите по следующей ситуации . В Address list создал перечень сайтов для доступа . Добавил в firewall правила как в вашем примере с одним исправлением , src-address вся подсеть HotSpot 192.168.1.0/24 . Целью было предоставить доступ к партнерским сайтам и Play Market для скачки приложения и совершения через него платежа . Так вот все необходимые сайты открываются , не нужные блочатся , маркет с телефона так же открывается но не происходит загрузки приложения после нажатия на кнопку "Установить" т.е просто пишет "Идет загрузка " и все . Никто не сталкивался с такой ситуацией ?


Ответить