Страница 5 из 9
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 00:50
antkamidiv
Тот же вконтакте имеет целую тучу ipшников. Простым запретом через адреслист реализовывать такую политику ограничения неблагодарное дело!!!
Запрет доступа к определенным сайтам можно сделать с помощью прокси сервера.
Алгоритм следующий:
1. Запускаете прокси (Web Proxy) в RouterOS.
2. Редиректите (Firewall -> NAT -> redirect) все соединения по порту 80 на порт прокси сервера (по умолчанию 8080).
3. На прокси сервере в access листе ставите запрет на необходимые ресурсы.
При таком подходе вы ограничиваете доступ по доменному имени, а не по ip адресам серверов, что экономит вам время на занесение всех возможных ip нежелательного ресурса в адреслисты с дальнейшим их запретом. При этом же нет необходимости настраивать браузера на использование прокси сервера (из-за редиректа).
Связка проверена и работает в 32 офисах.
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 10:53
M1chA
antkamidiv
и я пришел к такому же выводу )))
З.Ы я только начинаю его осваивать поэтому сильно не ругайтесь )))
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 20:08
sontrava
Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.
/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=Ваш_WAN
Или так, для ленивых
/ip f f a ac=d ch=forward pr=t src-address=192.168.0.2 out-i=Ваш_WAN cont="Host: porno.ru"
Блокируется только один исходящий пакет еще на взлете - никаких входящих пакетов соответственно дальше уже не идет.
Исходящие пакеты TCP вообще копеечные по трафику.
А Ресурсы процессора на фильтрацию входящих пакетов совсем не тратятся. Потому как их просто нет.
Кроме того нормально откроются абсолютно все пакеты и сайты содержащие фразу "Host: porno.ru"
Тем самым закрываем только сайт porno.ru и ничего лишнего. В отличие от блокировки по IP.
Тем более IP может меняться. И сайт может иметь много IP.
Вместо 192.168.0.2 можно указать целую под-сеть 192.168.0.0/24
или в адресс-листе указать список IP адресов, каким запрещен доступ к web-ресурсу porno.ru.
Правило поднимите наверх.
"Host: porno.ru" - это фрагмент с Get-запроса HTTP.
Вот так все просто.
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 21:03
sontrava
Можно вообще создать правило,
которое дабавляет в Адрес-лист, пользователей,
которые ходят на определенные сайты, например на ukr.net
Или которые посещают сайты, содержащие слова "порно".
Или даже запретить вход на все сайты,
кроме разрешенного.
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 21:33
iSupport
Есть таблица символов
у них есть коды
например вот
http://book.itep.ru/10/ascii.htmсмотрите шестнадцатиричную кодировку
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 22:32
sontrava
Это понятно.
А как эти коды кинуть Content=.....
Content=\x8D будет искать строку "\x8D" а не символ
?
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 23 мар 2012, 23:30
podarok66
sontrava писал(а):Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.
/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=WAN
Странно, попробовал на примере vk.com, не блокирует ничего. Правило у меня не срабатывает, хотя я загнал его на самый верх...
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 24 мар 2012, 00:18
sontrava
src-address=192.168.0.2 out-interface=WAN
WAN - поставьте название своего интерфейса в интернет!!!! Или уберите это правило вовсе.
Если у Вас PPoE, PPTP, L2TP соединение, то поставьте соответствующий интерфейс Вашего клиента!!!
src-address= Ваш IP адрес по DHCP! или PPoE....
Писать так Host: vk.com
Никаких лишних пробелов и символов! Ни в начале ни в конце ни в середине.
Только имя сайта. А Не Веб страницы!
У вас что? PPoE?
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 24 мар 2012, 00:27
sontrava
Copy-Paste используйте с головой.
Re: Как запретить определенные сайты в Mikrotik?
Добавлено: 24 мар 2012, 07:53
podarok66
Я Copy-Paste вообще не использую в таких случаях, набить пару строк в терминале проще и надежнее, по крайней мере голова в момент набора занята именно правилом, а не посторонними делами. Все, нашел причину. Вы тут ни при чем. У меня последнее время Webfig как-то странно работает, надо от работы в терминале из-под него отказываться напрочь. Набил то же правило в терминале Winbox, все встало на свои места. Очень изящное решение. Потому и стал сразу проверять работоспособность, что понравился сам принцип - одна строка в файерволе и вуаля.
Спасибо за подсказку. Будем использовать.