Автоматическое создание "Address Lists "

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Уважаемые форумчане. Возникла необходимость блокирования доступа ТВ в сеть. Было создано первое правило в фаерволе которое отслеживает соединения с IP адреса ТВ и автоматом кидает их в адрес лист

Код: Выделить всё

action=add-dst-to-address-list address-list=Samsung_Fork address-list-timeout=none-static chain=forward  hotspot="" log=yes src-address=192.168.88.5
и второе которое смотрит за соединениями с IP адреса ТВ и в случае нахождения данного IP в адрес листе блокирует соединение

Код: Выделить всё

action=drop chain=forward dst-address-list=Samsung_Fork src-address=192.168.88.5
Но, среди блокируемых адресов есть и те, которые не нужно блокировать. Для решения данной проблемы я добавил еще один адрес лист в который вношу исключения и дописал в первое правило

Код: Выделить всё

dst-address-list=!Do_not_dlock
Подскажите правильно ли я сделал, или можно данную проблему решить более легким путем?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

maxim_minton писал(а): 14 сен 2019, 07:57 Уважаемые форумчане. Возникла необходимость блокирования доступа ТВ в сеть.
Если отталкиваться от этой фразы, не проще IP адрес ТВ - запретить ему NAT и всё?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Vlad-2 писал(а): 14 сен 2019, 09:06
maxim_minton писал(а): 14 сен 2019, 07:57 Уважаемые форумчане. Возникла необходимость блокирования доступа ТВ в сеть.
Если отталкиваться от этой фразы, не проще IP адрес ТВ - запретить ему NAT и всё?
Наверно я не правильно описал проблему. Есть ТВ Самсунг, он как дурной ломится по адресам половины интернета, меня это не устраивает, мне не нужно обновление прошивки, обновление приложений, удаление моих приложений которые забанены на серверах Самсунга, я хочу пользоваться только тем, чем хочу.

Т.е. мне нужно запретить ТВ свободно гулять в интернете делая что ему хочется, но список IP адресов куда он ломится постоянно меняется, и я не знаю его полностью. И если вдруг он находит как подключится к интернету, то потом на исправление всего что он там наобновляет и наудаляет у меня уходит пару часов :(

С другой стороны у меня на ТВ стоят приложения которым нужен доступ к интернету: YouTube, ForkPlayer, OTTPlayer и прочее, но к сожалению я так же не знаю полный перечень серверов куда они ходят, и пытаюсь сделать список этих серверов отлавливая момент появления в адрес листе новой записи и отсутствия коннекта у какого либо нужного приложения.

Я возможно сумбурно обьясняю, но Пушкинский слог не мой конек :nez-nayu: Посему просто выдернуть провод из ТВ это не вариант :)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Если бы всё так было просто, то давно такие функции были.
Поэтому я и зацепился за Вашу фразу.

Если телеку не нужен Интернет, но локальная сеть нужна, то это просто сделать.
А вот так, искать все узлы которые надо ограничивать и потом их для ТВ закидывать
в блок, а другие узлы как-то формировать и их явно разрешать = увы и ах.
(сделать можно, но овчинка того не стоит, да и всё может поменяться,
кстати, может на форуме по ТВ-самса есть такой список?).
В любом случаи, это не тривиальная задача.
Тот же Ютуб, у него поддоменов и субдоменов куча. Долго будете искать и описывать.

И ещё попутно вопрос, а не всё равно ли куда телек лазит?
Трафик разве не безлимитный? Мы уже на Камчатке года 3 радуемся,
и не платим за каждый мегабайт.
Ну а если не хотите обновлений, то опять - к началу, отключить Интернет.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Ну, ладно. Нет, дак нет. Будем удалять гланды через отверстие для этого не приспособленное :-):

На форуме самса этот список есть, но он не полный, поскольку ТВ все равно как то обновляется, пусть и не сразу, но самое плохое, что он удаляет нужные мне приложения, он как то сличает их с самсунговскими на сервере и при отсутствии их в списке сервера, удаляет, я никак не могу поймать адрес этого сервера, или он постоянно меняется.

По поводу все ли равно, как по мне, то фиолетово, если он не диктует мне правила чем мне пользоваться на моем личном устройстве купленом за собственные деньги :-): . Если бы мне Самсунг подарил ТВ, то ок. А поскольку я его купил, то хочу ставить и пользоваться тем, что мне нужно.

Трафик безлимитный, но не в нем смысл. Да и не понятно нафига телеку лазить в интернет в таких масштабах. На данный момент в адрес листе более 400!!! записей.

Ну, посмотрим, вроде бы пока все работает, будем заниматься понемногу рукоблудием, если будет интересная идея, готов её реализовать и протестировать, знания у меня конечно аховые в этой области, но попробовать всегда можно.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Кмк, тут лучше отдельный фильтрующий DNS сервер в сети организовать вроде pi-hole и организовать блокировку на нем.
Сомневаюсь, что телевизор ломится напрямую по ip-адресам.
А количество доменов, куда он лезет, скорее всего вполне конечно.
И управлять этим всем будет намного удобнее.

Ну и как бы оно не только для телека будет полезно :)


Telegram: @thexvo
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Дак это нужно ещё железяку новую покупать, это как развитие на будущее. Спасибо за идею, я про такое даже не думал.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

maxim_minton писал(а): 14 сен 2019, 21:29 Дак это нужно ещё железяку новую покупать, это как развитие на будущее. Спасибо за идею, я про такое даже не думал.
Если весь вопрос в паре десятков доменов, куда стучится телевизор, то это и на микротике можно сделать.

Совсем другое дело, если все это использовать для блокировки рекламы и т.д., где списки под несколько сотен тысяч записей, собранные из разных источников, с автоматическими обновлениями, белыми/черными списками и прочими радостями.
Вот такое поддерживать в актуальном состоянии на микротике уже нереально.
Плюс, к тому же pi-hole можно в два счета прикрутить dns-over-https от cloudflare и обезопасить себя от того, что провайдер может слушать и/или подменять днс запросы.
Микротик это вообще не умеет пока.

Ну а «новая железяка» - это в общем-то любой одноплатник с ethernet портом, там нагрузка минимальная, если в масштабах домашней сети. Туда же кучу других полезных в домашнем хозяйстве сервисов можно повесить.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

maxim_minton писал(а): 14 сен 2019, 21:29 Дак это нужно ещё железяку новую покупать, это как развитие на будущее. Спасибо за идею, я про такое даже не думал.
Если будете настраивать pi-hole, то вот показываю пока сжато как задать отдельно
для одного хоста данные, отличные от общего набора через DHCP сервер.

Изображение

Поясню:
обычно для всей сети отдаются общие данные, шлюз, маска, ДНСы,
можно взять адрес, сделать его статичным (прибить в DHCP) и уже этот адрес
в описании сети DHCP отделить, задав в нём то, что Вам надо, включая IP адрес
будущего DNS сервера.

На картинке, я адрес 30.200 выделил, и задал что у него ДНСы внешние, Яндексовские.
На компе это после включения/выключения сетевой карты - применилось, либо
надо было обождать когда будет обновлён новый срок аренды адреса.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить