Как запретить определенные сайты в Mikrotik?

iSupport · 15 мар 2012, 02:05

Прозрачный прокси - не проблема

Ловим файрволом трафик во внешний мир по 80 порту и заворачиваем на порт прокси

M1chA · 18 мар 2012, 22:54

Запретил через Адрес-листы-все прекрасно работает.
Теперь назрела необходимость дать некоторым пользователям доступ к контакту но ограничить их в серфинге по контакту.
Поясню что имеется ввиду. Есть сайт vk.com. Пользователь может шариться по нему сколько угодно но использовать игры не должен мочь.
Провел небольшой анализ и выяснил, что страница игр имеет адрес http://vk.com/apps
Если открыть какую-нибудь игру/приложение то оно имеет следующий формат: http://vk.com/app1995682_14706654
Мы видим, что буква "s" заменяется на цифру и дальше идет сам адрес игры/приложения.
Так вот, надо сделать так, чтобы все эти игры/приложения были недоступны.

Конфигурация Mikrotik следующая.

Код: Выделить всё

NAT. Masquerade
Adress Lists. Lan_lists (192.168.0.0/20)
Adress Lists. !BlockSites
DHCP server
Internet. PPPOE.

Подскажите пожалуйста куда копать, ибо в Adress Lists такой формат

Код: Выделить всё

http://vk.com/app1995682_14706654

не добавляется.

iSupport · 19 мар 2012, 19:23

тут идет блокировка уже через http адрес

для этого лучший вариант - использовать прокси

http://wiki.mikrotik.com/wiki/How_to_Bl ... sing_Proxy

статейка тут

M1chA · 19 мар 2012, 19:52

Сделал по ссылке которую Вы мне дали - не помогло.
Вот скрин. Что я не так делаю?

19 мар 2012, 20:20

Сначала нужно настроить прокси:

Код: Выделить всё

[admin@MikroTik]>ip proxy
/set enabled=yes
/set src-address=0.0.0.0
/set port=8080
/set parent-proxy=0.0.0.0:0
/set cache-administrator="admin"
/set cache-on-disk=no
/set max-client-connections=600
/set max-server-connections=600
/set max-cache-size=512KiB
/set max-fresh-time=3d

Теперь надо сделать его прозрачным в файерволе, учитывая, что доступ к админке роутера (192.168.100.1) надо бы все-таки пускать не через прокси (я тут про это не подумал, и не мог в роутер попасть через Webfig, пришлось авторизовываться через Winbox по MAC-адресу):

Код: Выделить всё

[admin@MikroTik]>ip firewall nat add chain=dstnat protocol=tcp dst-address=!192.168.100.1 dst-port=80 action=redirect to-ports=8080

Потом правило запрета:

Код: Выделить всё

[admin@MikroTik]>ip firewall filter add chain=input in-interface=ether1 src-address=0.0.0.0/0 protocol=tcp dst-port=8080 action=drop

Режем доступ к играм в контакте:

Код: Выделить всё

[admin@MikroTik]>ip proxy access add dst-host=:vk.com/app action=deny

Попробуйте, должно сработать...

iSupport · 19 мар 2012, 21:42

или ...

path указать

*vk.com\apps

iSupport · 19 мар 2012, 22:17

сам проверил

так получилось

Код: Выделить всё


/ip proxy set cache-administrator=messire enabled=yes
/ip proxy access
add action=deny dst-host=vk.com dst-port=80 path=*app*
[messire@MikroTik]

M1chA · 19 мар 2012, 23:13

Не получается

iSupport · 20 мар 2012, 10:39

ну во-первых, правило Редирект в ФАЙРВОЛЛ - НАТ у Вас выключено (нажмите синюю галочку)

во-вторых - редирект должен стоять выше Маскардинга (у Вас ниже, перетащите его наверх)

M1chA · 20 мар 2012, 12:56

iSupport
Спасибо,помогло.

Как запретить определенные сайты в Mikrotik?

Вход • Регистрация