Проблемы с блокировкой vk.com

[gmx]

Попробовал.
Да проблема действительно есть. Не отрабатывается восклицательный знак в правиле Drop.
Попробуйте написать на mikrotik.com.

Пока я предлагаю создать два списка, черный и белый.
Проверил, точно работает.

Может vqd знает причину такого поведения?

[vqd]

Вот это проверил, работает

/ip firewall filter
add action=reject chain=forward connection-nat-state=srcnat content=vk.com disabled=no protocol=tcp reject-with=tcp-reset src-address-list=!white_list

Разумеется работать будет только для http запросов, для https нет

[Mapcer]

Вот это проверил, работает

/ip firewall filter
add action=reject chain=forward connection-nat-state=srcnat content=vk.com disabled=yes protocol=tcp reject-with=tcp-reset src-address-list=!white_list

Разумеется работать будет только для http запросов, для https нет

Сейчас попробую ваш вариант.

Обнаружил тут старое правило:
4 ;;; Viber Tcp
chain=forward action=drop protocol=tcp src-address-list=!white_list dst-address-list=viberlist port=443,80,5242,4244 log=no log-prefix=""

обратите внимание, в этом правиле указаны исходящий лист: !white_list и лист назначения: viberlist и это правило, почему-то работает(понял, когда удалил свой комп из white_list у меня отрубился вайбер). ума не приложу.

[vqd]

ну логично. Ответ кроется в вашем скриншоте который вы выше выкладывали

[Mapcer]

ну логично. Ответ кроется в вашем скриншоте который вы выше выкладывали

Не расскажите, в чем тут дело? Я хоть убей не понимаю. Разве, что в правиле вайбера стоит блокировка IP адресов, а в правиле vk, стоит блокировка контента? В этом дело?

[vqd]

content=vk.com

Означает что анализируется контент, Тоесть ваше правило говорит что мол грохнуть если на форварте в контенте присутствует vk.com
То есть в это правило попадает как соединения от юзера к серверам ВК, так и ОТВЕТ серверов ВК юзеру.

Соответственно когда вы себя добавляете в белый список то запрос серверам ВК нормально уходит, а вот ответы частично дропаются и потому вы видите багу

[vqd]

множите еще добавить у себя в правиле in-interface (указываем интерфейс на который сеть смотрит) и тоже будет работать ибо ответы от ВК не будут уже попадать в дроп

[Mapcer]

content=vk.com

Означает что анализируется контент, Тоесть ваше правило говорит что мол грохнуть если на форварте в контенте присутствует vk.com
То есть в это правило попадает как соединения от юзера к серверам ВК, так и ОТВЕТ серверов ВК юзеру.

Соответственно когда вы себя добавляете в белый список то запрос серверам ВК нормально уходит, а вот ответы частично дропаются и потому вы видите багу

А не подскажите каким образом избежать дропа входящих пакетов? и этой баги в целом? поднимать web proxy? и там блокировать доступ на сайты?
Или все же можно как-то обойти эту проблему?
ЗЫ: чувствую себя тупее, с каждым постом...

[vqd]

Эм, буквально постом выше я вам один из методов написал

[Mapcer]

Эм, буквально постом выше я вам один из методов написал

Простите, когда писал комментарий, того поста еще не было...

УРАаааа! За-ра-бо-та-ло! (как кот Матроскин из Простоквашино)

Спасибо вам огромное, без вас бы не справился.