Добрый день!
Есть микротик RB2011, прошивка 6.41.3. Хочу заблокировать интернет, кроме определенных сайтов, но возникает проблема, становятся недоступны ВСЕ сайты, даже те, что разрешены.
Тестирую на своем ПК.
Создаю адрес-лист с разрешенными сайтами Allowed, например yandex.ru, google.com, google.ru. Появляются динамические IP в адрес-листе.
Создаю разрешающие правило
/ip firewall filter
add chain=forward src-address=Мой ИП dst-address-list=Allowed action=accept
Создаю запрещающие правило
/ip firewall filter
add chain=forward src-address=Мой ИП dst-address-list=!Allowed action=drop
В итоге в браузере ни один сайт не открывается, в логах микротика только сообщения о том, что NAT гоняет запросы. Менял время TTL, размер кэша, ребутил микротик, менял DNS. Если делаю пинг до сайта, который разрешен, то пинги проходят. Что я делаю не так???
Делал от обратного, то есть блокировал только определенные сайты - работает нормально. Но хочу именно разрешить только определенные сайты, так как весь инет не заблокируешь списком) ПС layer7-protocol не предлагать.
RB2011 Заблокировать все сайты, кроме определенных
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ну например есть некий ученик, которому надо на ноут отдать лишь электронный журнал и гугловский переводчик. Делаем адрес-лист
Делаем правила для фильтра:
Где 192.168.88.240 - адрес ноута. Правила вверх. Дропал udp, потому как ребенок умудрялся смотреть видюшки в ютюбе с одним верхним правилом. С двумя правилами сразу остался только вопль "Ну папа!!!"
Код: Выделить всё
/ip firewall address-list
add address=konst.eljur.ru list=eljur
add address=translate.google.ru list=eljur
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward dst-address-list=!eljur protocol=tcp reject-with=tcp-reset src-address=192.168.88.240
add action=drop chain=forward dst-address-list=!eljur protocol=udp src-address=192.168.88.240
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 3
- Зарегистрирован: 20 мар 2018, 17:40
Сделал, проверил. Часть сайтов открывается, часть в вечном вращении браузера...
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Фильтр покажите полностью
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 3
- Зарегистрирован: 20 мар 2018, 17:40
Код: Выделить всё
0 ;;; Torrents files
chain=forward action=drop dst-address-list=!admin
content=application/x-bittorrent log=no log-prefix=""
1 ;;; Acces DNS
chain=input action=accept connection-limit=0,32 protocol=udp
src-address-list=dns in-interface=pppoe-out1 dst-port=53 log=no
log-prefix=""
-----------------
Правила блокировки
Правило с разрешением не вывелось стоит перед ними
2 X ;;;
chain=forward action=drop protocol=tcp src-address=192.168.2.184
dst-address-list=!Allowed log=yes log-prefix=""
3 X chain=forward action=drop protocol=udp src-address=192.168.2.184
dst-address-list=!Allowed log=no log-prefix=""
----------------
4 ;;; DDOS DNS Блокировка флуда по днс
chain=input action=drop protocol=udp src-address-list=!dns dst-port=53
log=no log-prefix=""
5 ;;; Block website Блокировка сайтов тем же методом, работает
chain=forward action=drop src-address-list=!admin
dst-address-list=Bloksite log=no log-prefix=""
6 ;;; invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
7 chain=forward action=drop connection-state=invalid log=no log-prefix=""
8 ;;; Ports
chain=input action=drop protocol=tcp dst-address=178.234.41.164
dst-port=80 log=no log-prefix=""
9 chain=input action=drop protocol=tcp src-address=!192.168.2.0/24
dst-address=178.234.41.164 dst-port=23 log=no log-prefix=""
10 chain=input action=drop protocol=tcp src-address=!192.168.2.0/24
dst-address=178.234.41.164 dst-port=22 log=no log-prefix=""
11 X chain=forward action=accept protocol=tcp dst-address=192.168.2.21
dst-port=6060 log=no log-prefix=""
12 X chain=forward action=accept protocol=tcp dst-address=192.168.2.21
dst-port=555 log=no log-prefix=""
13 chain=input action=drop protocol=tcp src-address=!192.168.2.0/24
dst-port=3389 log=no log-prefix=""
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Интересная тема.
Ну как разрешить то? Сейчас куча сайтов для работы которых нужно открыть всякие там гуглы и прочие директы.
Тобиш в моем понимании надо сидеть и анализировать какие еще запрашиваютс хосты и все это дело добавлять в белые листы
Ну как разрешить то? Сейчас куча сайтов для работы которых нужно открыть всякие там гуглы и прочие директы.
Тобиш в моем понимании надо сидеть и анализировать какие еще запрашиваютс хосты и все это дело добавлять в белые листы
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 185
- Зарегистрирован: 24 ноя 2016, 21:14
общее правило: разрешить можно только свои сайты, потому что чужие могут меняться,
или .. надо писать скрипт и раз в ... анализировать куда ссылаются нужные сайты.
Вообще тема запрета это тема полного DPI - микротикам это слабо, тут все же роутер, а не DPI машина.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Скриптом вы не реализуете анализ запросов для конкрентного сайта. Кажется мне что полноценно эта задача средствами микротик не выполнима просто ну или сидеть и вручную анализировать каждый ресурс из белого списка
Есть интересная задача и бюджет? http://mikrotik.site
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
В моём понимании список разрешенных сайтов - это парочка самых простых и нужных. И эту пару уж проанализировать можно. Что, собственно и было продемонстрировано на реальном примере (электронный журнал и переводчик от гугла). А делить интернет пополам на нужное и ненужное - задача оборудования провайдерского класса, а не разнесчастного роутера за 5 тыр.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 5
- Зарегистрирован: 19 июл 2018, 09:45
Добрый день . А подскажите по следующей ситуации . В Address list создал перечень сайтов для доступа . Добавил в firewall правила как в вашем примере с одним исправлением , src-address вся подсеть HotSpot 192.168.1.0/24 . Целью было предоставить доступ к партнерским сайтам и Play Market для скачки приложения и совершения через него платежа . Так вот все необходимые сайты открываются , не нужные блочатся , маркет с телефона так же открывается но не происходит загрузки приложения после нажатия на кнопку "Установить" т.е просто пишет "Идет загрузка " и все . Никто не сталкивался с такой ситуацией ?podarok66 писал(а): ↑20 мар 2018, 21:31 Ну например есть некий ученик, которому надо на ноут отдать лишь электронный журнал и гугловский переводчик. Делаем адрес-листДелаем правила для фильтра:Код: Выделить всё
/ip firewall address-list add address=konst.eljur.ru list=eljur add address=translate.google.ru list=eljur
Где 192.168.88.240 - адрес ноута. Правила вверх. Дропал udp, потому как ребенок умудрялся смотреть видюшки в ютюбе с одним верхним правилом. С двумя правилами сразу остался только вопль "Ну папа!!!"Код: Выделить всё
/ip firewall filter add action=reject chain=forward dst-address-list=!eljur protocol=tcp reject-with=tcp-reset src-address=192.168.88.240 add action=drop chain=forward dst-address-list=!eljur protocol=udp src-address=192.168.88.240