Страница 1 из 3
RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 20 мар 2018, 17:43
vovansgz
Добрый день!
Есть микротик RB2011, прошивка 6.41.3. Хочу заблокировать интернет, кроме определенных сайтов, но возникает проблема, становятся недоступны ВСЕ сайты, даже те, что разрешены.
Тестирую на своем ПК.
Создаю адрес-лист с разрешенными сайтами Allowed, например yandex.ru, google.com, google.ru. Появляются динамические IP в адрес-листе.
Создаю разрешающие правило
/ip firewall filter
add chain=forward src-address=Мой ИП dst-address-list=Allowed action=accept
Создаю запрещающие правило
/ip firewall filter
add chain=forward src-address=Мой ИП dst-address-list=!Allowed action=drop
В итоге в браузере ни один сайт не открывается, в логах микротика только сообщения о том, что NAT гоняет запросы. Менял время TTL, размер кэша, ребутил микротик, менял DNS. Если делаю пинг до сайта, который разрешен, то пинги проходят. Что я делаю не так???
Делал от обратного, то есть блокировал только определенные сайты - работает нормально. Но хочу именно разрешить только определенные сайты, так как весь инет не заблокируешь списком) ПС layer7-protocol не предлагать.
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 20 мар 2018, 21:31
podarok66
Ну например есть некий ученик, которому надо на ноут отдать лишь электронный журнал и гугловский переводчик. Делаем адрес-лист
Код: Выделить всё
/ip firewall address-list
add address=konst.eljur.ru list=eljur
add address=translate.google.ru list=eljur
Делаем правила для фильтра:
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward dst-address-list=!eljur protocol=tcp reject-with=tcp-reset src-address=192.168.88.240
add action=drop chain=forward dst-address-list=!eljur protocol=udp src-address=192.168.88.240
Где 192.168.88.240 - адрес ноута. Правила вверх. Дропал udp, потому как ребенок умудрялся смотреть видюшки в ютюбе с одним верхним правилом. С двумя правилами сразу остался только вопль "Ну папа!!!"
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 21 мар 2018, 09:35
vovansgz
Сделал, проверил. Часть сайтов открывается, часть в вечном вращении браузера...
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 21 мар 2018, 10:49
podarok66
Фильтр покажите полностью
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 21 мар 2018, 11:06
vovansgz
Код: Выделить всё
0 ;;; Torrents files
chain=forward action=drop dst-address-list=!admin
content=application/x-bittorrent log=no log-prefix=""
1 ;;; Acces DNS
chain=input action=accept connection-limit=0,32 protocol=udp
src-address-list=dns in-interface=pppoe-out1 dst-port=53 log=no
log-prefix=""
-----------------
Правила блокировки
Правило с разрешением не вывелось стоит перед ними
2 X ;;;
chain=forward action=drop protocol=tcp src-address=192.168.2.184
dst-address-list=!Allowed log=yes log-prefix=""
3 X chain=forward action=drop protocol=udp src-address=192.168.2.184
dst-address-list=!Allowed log=no log-prefix=""
----------------
4 ;;; DDOS DNS Блокировка флуда по днс
chain=input action=drop protocol=udp src-address-list=!dns dst-port=53
log=no log-prefix=""
5 ;;; Block website Блокировка сайтов тем же методом, работает
chain=forward action=drop src-address-list=!admin
dst-address-list=Bloksite log=no log-prefix=""
6 ;;; invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
7 chain=forward action=drop connection-state=invalid log=no log-prefix=""
8 ;;; Ports
chain=input action=drop protocol=tcp dst-address=178.234.41.164
dst-port=80 log=no log-prefix=""
9 chain=input action=drop protocol=tcp src-address=!192.168.2.0/24
dst-address=178.234.41.164 dst-port=23 log=no log-prefix=""
10 chain=input action=drop protocol=tcp src-address=!192.168.2.0/24
dst-address=178.234.41.164 dst-port=22 log=no log-prefix=""
11 X chain=forward action=accept protocol=tcp dst-address=192.168.2.21
dst-port=6060 log=no log-prefix=""
12 X chain=forward action=accept protocol=tcp dst-address=192.168.2.21
dst-port=555 log=no log-prefix=""
13 chain=input action=drop protocol=tcp src-address=!192.168.2.0/24
dst-port=3389 log=no log-prefix=""
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 21 мар 2018, 20:17
vqd
Интересная тема.
Ну как разрешить то? Сейчас куча сайтов для работы которых нужно открыть всякие там гуглы и прочие директы.
Тобиш в моем понимании надо сидеть и анализировать какие еще запрашиваютс хосты и все это дело добавлять в белые листы
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 21 мар 2018, 21:02
anad
vqd писал(а): ↑21 мар 2018, 20:17
Интересная тема.
Ну как разрешить то? Сейчас куча сайтов для работы которых нужно открыть всякие там гуглы и прочие директы.
Тобиш в моем понимании надо сидеть и анализировать какие еще запрашиваютс хосты и все это дело добавлять в белые листы
общее правило: разрешить можно только свои сайты, потому что чужие могут меняться,
или .. надо писать скрипт и раз в ... анализировать куда ссылаются нужные сайты.
Вообще тема запрета это тема полного DPI - микротикам это слабо, тут все же роутер, а не DPI машина.
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 22 мар 2018, 05:44
vqd
Скриптом вы не реализуете анализ запросов для конкрентного сайта. Кажется мне что полноценно эта задача средствами микротик не выполнима просто ну или сидеть и вручную анализировать каждый ресурс из белого списка
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 22 мар 2018, 18:32
podarok66
В моём понимании список разрешенных сайтов - это парочка самых простых и нужных. И эту пару уж проанализировать можно. Что, собственно и было продемонстрировано на реальном примере (электронный журнал и переводчик от гугла). А делить интернет пополам на нужное и ненужное - задача оборудования провайдерского класса, а не разнесчастного роутера за 5 тыр.
Re: RB2011 Заблокировать все сайты, кроме определенных
Добавлено: 19 июл 2018, 09:53
MastDon
podarok66 писал(а): ↑20 мар 2018, 21:31
Ну например есть некий ученик, которому надо на ноут отдать лишь электронный журнал и гугловский переводчик. Делаем адрес-лист
Код: Выделить всё
/ip firewall address-list
add address=konst.eljur.ru list=eljur
add address=translate.google.ru list=eljur
Делаем правила для фильтра:
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward dst-address-list=!eljur protocol=tcp reject-with=tcp-reset src-address=192.168.88.240
add action=drop chain=forward dst-address-list=!eljur protocol=udp src-address=192.168.88.240
Где 192.168.88.240 - адрес ноута. Правила вверх. Дропал udp, потому как ребенок умудрялся смотреть видюшки в ютюбе с одним верхним правилом. С двумя правилами сразу остался только вопль "Ну папа!!!"
Добрый день . А подскажите по следующей ситуации . В Address list создал перечень сайтов для доступа . Добавил в firewall правила как в вашем примере с одним исправлением , src-address вся подсеть HotSpot 192.168.1.0/24 . Целью было предоставить доступ к партнерским сайтам и Play Market для скачки приложения и совершения через него платежа . Так вот все необходимые сайты открываются , не нужные блочатся , маркет с телефона так же открывается но не происходит загрузки приложения после нажатия на кнопку "Установить" т.е просто пишет "Идет загрузка " и все . Никто не сталкивался с такой ситуацией ?