Как запретить определенные сайты в Mikrotik?

[M1chA]

Подскажите пожалуйста, как запретить определенные сайты в Mikrotik 5.14, например vk.com?

[iSupport]

1) делаете адресс лист, например Block_site

2) например в правило НАТ делаете адресс лист !Block_site

не Block_site

соответственно айпишники из того листа доступны не будут

Айпишники ищем гуглом

[M1chA]

Угу,понятно,спасибо.
Еще один вопросик назрел...

Предыдущий админ ушел из конторы и не оставил логин/пароль на Mikrotik 5.*
Mikrotik стоит на компе. Я хочу загрузиться с LiveCD и копирнуть файл конфигурации.

Вопросов 2.
1. В какой директории и каком файле хранится конфигурация Mikrotik?
2. В какой директории и каком файле хранятся логины/пароли пользователей?

Хочу попробовать изменить логин/пароль админа и зайти на него.

[iSupport]

насколько удалось вывести их интернета

%путь_монтирования%/nova/store/user.dat

это файл конфигурации Юзверей. Его либо вскрыть, либо заменить на новый с вашим паролем

[danilovav]

А совсем никак не организовать блокировку именно по URL?
Можно ли через L7 protocols?

[iSupport]

L7 считывает данные заголовков пакетов, чтоб понять что в них и применяет к ним правила

Минусов много. Основной - L7 работает медленнее чем adress list

лучший вариант всетаки Адресс листы

[danilovav]

Он явно не лучше... DynDNS, динамические или большие сети, просто необходимость заблокировать один подресурс (например, яндекс-фотки, а сам поиск оставить)

[iSupport]

как видно из примера - фотки и сам яндекс поиск - разные ИПы

Код: Выделить всё

C:\Users\Messire>nslookup foto.yandex.ru
Не заслуживающий доверия ответ:
╚ь :     fotki.yandex.ru
Addresses:  87.250.250.178
          87.250.251.178
          93.158.134.178
          213.180.204.178
          77.88.21.178
Aliases:  foto.yandex.ru


C:\Users\Messire>nslookup yandex.ru

Не заслуживающий доверия ответ:
╚ь :     yandex.ru
Addresses:  77.88.21.11
          87.250.250.11
          87.250.251.11
          93.158.134.11
          213.180.193.11
          213.180.204.11


C:\Users\Messire>

и еще - посмотрите про L7
http://l7-filter.sourceforge.net/protocols

[podarok66]

Как вариант, можно завернуть весь трафик через прокси, сделать этот прокси прозрачным, запретить трафик мимо прокси и уже в прокси написать правило типа

Код: Выделить всё

[admin@MikroTik]>ip proxy access add dst-host=www.odnoklassniki.ru action=deny

Надо только не забывать, что доступ к самому Mikrotik не стоит редиректить, я таким образом прикрыл доступ самому себе к роутеру, пришлось заходить по МАК-адресу.
В принципе, можно даже запретить загрузку файлов с определенным расширением, если очень уж юзеры отвязные

Код: Выделить всё

[admin@MikroTik]>ip proxy access add path=*.mp3 action=deny

[danilovav]

как видно из примера - фотки и сам яндекс поиск - разные ИПы

Пример с яндексом не очень был - у них все правильно
А вот mail.ru, bk.ru - хороший пример, все на одном адресе
Вообще, тема виртуального (один IP, много сайтов) хостинга очень популярна, поэтому блокировка по IP совсем не супер

Код: Выделить всё

C:\Users\Alexandr Danilov>nslookup
Default Server:  UnKnown
Address:  192.168.10.1

> mail.ru
Server:  UnKnown
Address:  192.168.10.1

Non-authoritative answer:
Name:    mail.ru
Addresses:  94.100.191.201
          94.100.191.202
          94.100.191.203
          94.100.191.204

> bk.ru
Server:  UnKnown
Address:  192.168.10.1

Non-authoritative answer:
Name:    bk.ru
Addresses:  94.100.191.203
          94.100.191.204
          94.100.191.201
          94.100.191.202

Вариант с прокси - хорош, особенно если прозрачно клиентов завернуть на него