RB2011 Заблокировать все сайты, кроме определенных

Обсуждение оборудования и его настройки
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну а вы уверены что прилоение грузится имено с того хоста который вы в белом списке то указали?


Есть интересная задача и бюджет? http://mikrotik.site
MastDon
Сообщения: 5
Зарегистрирован: 19 июл 2018, 09:45

так же склоняюсь к этому решению . Я добавлял play.google.com в Address List там пул адресов он показал но видимо приложения лежат не там . Есть у кого нибудь идеи как их найти ? Сам я уже гуглю но мало ли вдруг кто то уже сталкивался


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А android.clients.google.com не добавляли? Он тоже участвует в процессе


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
MastDon
Сообщения: 5
Зарегистрирован: 19 июл 2018, 09:45

podarok66 писал(а): 19 июл 2018, 20:38 А android.clients.google.com не добавляли? Он тоже участвует в процессе
Да , добавлял . Но результат тот же . Добавлял и несколько других которые нагуглил - все так же . Буду копать дальше , если появятся идеи буду благодарен за помощь .


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Отмените ограничения, включите лог, сделайте свои эталонные действия, посмотрите в логе с кем соединялись.


MastDon
Сообщения: 5
Зарегистрирован: 19 июл 2018, 09:45

Erik_U писал(а): 20 июл 2018, 10:29 Отмените ограничения, включите лог, сделайте свои эталонные действия, посмотрите в логе с кем соединялись.
Спасибо за подсказку , помогло . В логах нашел адрес 212.113.52.211 добавил подсеть в Address lists все заработало . Самое странное что подсеть не гугловая , я почему то упорно копал в сторону их сервисов .


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Это, судя по всему адресок провайдера укртелеком. Я так подозреваю, он к вашему интернету имеет очень близкое отношение? Видимо, какие-то запросы перенаправляются через него и никак по другому. Странно ... Может DNS как-то подменяют?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
MastDon
Сообщения: 5
Зарегистрирован: 19 июл 2018, 09:45

podarok66 писал(а): 21 июл 2018, 09:26 Это, судя по всему адресок провайдера укртелеком. Я так подозреваю, он к вашему интернету имеет очень близкое отношение? Видимо, какие-то запросы перенаправляются через него и никак по другому. Странно ... Может DNS как-то подменяют?
Это укртелеком .... там все сложно ......
Спасибо всем за помощь !


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

MastDon писал(а): 23 июл 2018, 17:37
podarok66 писал(а): 21 июл 2018, 09:26 Это, судя по всему адресок провайдера укртелеком. Я так подозреваю, он к вашему интернету имеет очень близкое отношение? Видимо, какие-то запросы перенаправляются через него и никак по другому. Странно ... Может DNS как-то подменяют?
Это укртелеком .... там все сложно ......
Спасибо всем за помощь !
А что сложного ? Знакомьтесь GOOGLE CDN: сервера под управлением Google на площадках провайдеров. При этом там минимум 5 серверов и соотв минимум 5 адресов. откуда Вам скачивать решает Google и он вполне может выдать как сервера из своих ДЦ ( их много) так и Вашего провайдера ( там и его апстримов).
Именно поэтому нормально сделать "доступ только к " если сайты чужие почти не реально и это точно не задача для роутера: он не знает и не может знать что на сайте появился новый js из нового источника.
Для любителей экспериментов - ну есть tcpdump , можно записать с кем связывался браузер в процессе ЭТОЙ сесии ( а вот в следующей сработает балансер какой-нибудь или просто другая запись ДНС)


denis.korsachv
Сообщения: 31
Зарегистрирован: 13 ноя 2019, 15:56

Здравствуйте, пытаюсь заблокировать для определённого ПК весь интернет кроме пары сайтов и сделал при это следующии правила:
1. /ip firewall filter
add chain=forward src-address=адресс того кому нужно закрыть доступ dst-address-10.12.0.0/20 action=accept - разрешили доступ в локальную сеть
2. /ip firewall layer7-protocol
add name=white_list regexp="^.+(rambler.ru).*\$" - создали регулярку для доступа к единственному rambler.ru
3. /ip firewall filter
add chain=forward src-address=адресс того кому нужно закрыть доступ layer7-protocol=white_list action=accept
4. /ip firewall filter
add chain=forward src-address=адресс того кому нужно закрыть доступ action=drop

И собственно не работает(. Если в последнем правиле ставлю протокол tcp то идут пинги но сайт rambler.ru всеравно не открывается. Что неттак то сделал?


Ответить