Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Подскажите пожалуйста, как запретить определенные сайты в Mikrotik 5.14, например vk.com?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

1) делаете адресс лист, например Block_site

2) например в правило НАТ делаете адресс лист !Block_site

не Block_site

соответственно айпишники из того листа доступны не будут

Айпишники ищем гуглом


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Угу,понятно,спасибо.
Еще один вопросик назрел...

Предыдущий админ ушел из конторы и не оставил логин/пароль на Mikrotik 5.*
Mikrotik стоит на компе. Я хочу загрузиться с LiveCD и копирнуть файл конфигурации.

Вопросов 2.
1. В какой директории и каком файле хранится конфигурация Mikrotik?
2. В какой директории и каком файле хранятся логины/пароли пользователей?

Хочу попробовать изменить логин/пароль админа и зайти на него.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

насколько удалось вывести их интернета

%путь_монтирования%/nova/store/user.dat

это файл конфигурации Юзверей. Его либо вскрыть, либо заменить на новый с вашим паролем


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

А совсем никак не организовать блокировку именно по URL?
Можно ли через L7 protocols?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

L7 считывает данные заголовков пакетов, чтоб понять что в них и применяет к ним правила

Минусов много. Основной - L7 работает медленнее чем adress list

лучший вариант всетаки Адресс листы


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Он явно не лучше... DynDNS, динамические или большие сети, просто необходимость заблокировать один подресурс (например, яндекс-фотки, а сам поиск оставить)


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

как видно из примера - фотки и сам яндекс поиск - разные ИПы

Код: Выделить всё

C:\Users\Messire>nslookup foto.yandex.ru
Не заслуживающий доверия ответ:
╚ь :     fotki.yandex.ru
Addresses:  87.250.250.178
          87.250.251.178
          93.158.134.178
          213.180.204.178
          77.88.21.178
Aliases:  foto.yandex.ru


C:\Users\Messire>nslookup yandex.ru

Не заслуживающий доверия ответ:
╚ь :     yandex.ru
Addresses:  77.88.21.11
          87.250.250.11
          87.250.251.11
          93.158.134.11
          213.180.193.11
          213.180.204.11


C:\Users\Messire>


и еще - посмотрите про L7
http://l7-filter.sourceforge.net/protocols


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Как вариант, можно завернуть весь трафик через прокси, сделать этот прокси прозрачным, запретить трафик мимо прокси и уже в прокси написать правило типа

Код: Выделить всё

[admin@MikroTik]>ip proxy access add dst-host=www.odnoklassniki.ru action=deny

Надо только не забывать, что доступ к самому Mikrotik не стоит редиректить, я таким образом прикрыл доступ самому себе к роутеру, пришлось заходить по МАК-адресу.
В принципе, можно даже запретить загрузку файлов с определенным расширением, если очень уж юзеры отвязные

Код: Выделить всё

[admin@MikroTik]>ip proxy access add path=*.mp3 action=deny


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

iSupport писал(а):как видно из примера - фотки и сам яндекс поиск - разные ИПы

Пример с яндексом не очень был - у них все правильно
А вот mail.ru, bk.ru - хороший пример, все на одном адресе
Вообще, тема виртуального (один IP, много сайтов) хостинга очень популярна, поэтому блокировка по IP совсем не супер

Код: Выделить всё

C:\Users\Alexandr Danilov>nslookup
Default Server:  UnKnown
Address:  192.168.10.1

> mail.ru
Server:  UnKnown
Address:  192.168.10.1

Non-authoritative answer:
Name:    mail.ru
Addresses:  94.100.191.201
          94.100.191.202
          94.100.191.203
          94.100.191.204

> bk.ru
Server:  UnKnown
Address:  192.168.10.1

Non-authoritative answer:
Name:    bk.ru
Addresses:  94.100.191.203
          94.100.191.204
          94.100.191.201
          94.100.191.202


Вариант с прокси - хорош, особенно если прозрачно клиентов завернуть на него


Ответить