Как запретить определенные сайты в Mikrotik?

Обсуждение ПО и его настройки
Ответить
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Прозрачный прокси - не проблема

Ловим файрволом трафик во внешний мир по 80 порту и заворачиваем на порт прокси


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Запретил через Адрес-листы-все прекрасно работает.
Теперь назрела необходимость дать некоторым пользователям доступ к контакту но ограничить их в серфинге по контакту.
Поясню что имеется ввиду. Есть сайт vk.com. Пользователь может шариться по нему сколько угодно но использовать игры не должен мочь.
Провел небольшой анализ и выяснил, что страница игр имеет адрес http://vk.com/apps
Если открыть какую-нибудь игру/приложение то оно имеет следующий формат: http://vk.com/app1995682_14706654
Мы видим, что буква "s" заменяется на цифру и дальше идет сам адрес игры/приложения.
Так вот, надо сделать так, чтобы все эти игры/приложения были недоступны.

Конфигурация Mikrotik следующая.

Код: Выделить всё

NAT. Masquerade
Adress Lists. Lan_lists (192.168.0.0/20)
Adress Lists. !BlockSites
DHCP server
Internet. PPPOE.


Подскажите пожалуйста куда копать, ибо в Adress Lists такой формат

Код: Выделить всё

http://vk.com/app1995682_14706654
не добавляется.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

тут идет блокировка уже через http адрес

для этого лучший вариант - использовать прокси

http://wiki.mikrotik.com/wiki/How_to_Bl ... sing_Proxy

статейка тут


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Сделал по ссылке которую Вы мне дали - не помогло.
Вот скрин. Что я не так делаю?
Вложения
mikr.png
(64.22 КБ) 78 скачиваний


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Сначала нужно настроить прокси:

Код: Выделить всё

[admin@MikroTik]>ip proxy
/set enabled=yes
/set src-address=0.0.0.0
/set port=8080
/set parent-proxy=0.0.0.0:0
/set cache-administrator="admin"
/set cache-on-disk=no
/set max-client-connections=600
/set max-server-connections=600
/set max-cache-size=512KiB
/set max-fresh-time=3d

Теперь надо сделать его прозрачным в файерволе, учитывая, что доступ к админке роутера (192.168.100.1) надо бы все-таки пускать не через прокси (я тут про это не подумал, и не мог в роутер попасть через Webfig, пришлось авторизовываться через Winbox по MAC-адресу):

Код: Выделить всё

[admin@MikroTik]>ip firewall nat add chain=dstnat protocol=tcp dst-address=!192.168.100.1 dst-port=80 action=redirect to-ports=8080 


Потом правило запрета:

Код: Выделить всё

[admin@MikroTik]>ip firewall filter add chain=input in-interface=ether1 src-address=0.0.0.0/0 protocol=tcp dst-port=8080 action=drop


Режем доступ к играм в контакте:

Код: Выделить всё

[admin@MikroTik]>ip proxy access add dst-host=:vk.com/app action=deny


Попробуйте, должно сработать...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

или ...

path указать

*vk.com\apps


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

сам проверил

так получилось

Код: Выделить всё


/ip proxy set cache-administrator=messire enabled=yes
/ip proxy access
add action=deny dst-host=vk.com dst-port=80 path=*app*
[messire@MikroTik]



Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

Не получается :(
Вложения
mikr_3.png
(17.72 КБ) 74 скачивания
mikr_2.png
(49.74 КБ) 74 скачивания


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

ну во-первых, правило Редирект в ФАЙРВОЛЛ - НАТ у Вас выключено (нажмите синюю галочку)

во-вторых - редирект должен стоять выше Маскардинга (у Вас ниже, перетащите его наверх)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
M1chA
Сообщения: 149
Зарегистрирован: 05 мар 2012, 11:35

iSupport
Спасибо,помогло.


Ответить