Тот же вконтакте имеет целую тучу ipшников. Простым запретом через адреслист реализовывать такую политику ограничения неблагодарное дело!!!
Запрет доступа к определенным сайтам можно сделать с помощью прокси сервера.
Алгоритм следующий:
1. Запускаете прокси (Web Proxy) в RouterOS.
2. Редиректите (Firewall -> NAT -> redirect) все соединения по порту 80 на порт прокси сервера (по умолчанию 8080).
3. На прокси сервере в access листе ставите запрет на необходимые ресурсы.
При таком подходе вы ограничиваете доступ по доменному имени, а не по ip адресам серверов, что экономит вам время на занесение всех возможных ip нежелательного ресурса в адреслисты с дальнейшим их запретом. При этом же нет необходимости настраивать браузера на использование прокси сервера (из-за редиректа).
Связка проверена и работает в 32 офисах.
Как запретить определенные сайты в Mikrotik?
-
antkamidiv
- Сообщения: 119
- Зарегистрирован: 22 мар 2012, 18:28
- Контактная информация:
-
M1chA
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
antkamidiv
и я пришел к такому же выводу )))
З.Ы я только начинаю его осваивать поэтому сильно не ругайтесь )))
и я пришел к такому же выводу )))
З.Ы я только начинаю его осваивать поэтому сильно не ругайтесь )))
-
sontrava
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.
/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=Ваш_WAN
Или так, для ленивых
/ip f f a ac=d ch=forward pr=t src-address=192.168.0.2 out-i=Ваш_WAN cont="Host: porno.ru"
Блокируется только один исходящий пакет еще на взлете - никаких входящих пакетов соответственно дальше уже не идет.
Исходящие пакеты TCP вообще копеечные по трафику.
А Ресурсы процессора на фильтрацию входящих пакетов совсем не тратятся. Потому как их просто нет.
Кроме того нормально откроются абсолютно все пакеты и сайты содержащие фразу "Host: porno.ru"
Тем самым закрываем только сайт porno.ru и ничего лишнего. В отличие от блокировки по IP.
Тем более IP может меняться. И сайт может иметь много IP.
Вместо 192.168.0.2 можно указать целую под-сеть 192.168.0.0/24
или в адресс-листе указать список IP адресов, каким запрещен доступ к web-ресурсу porno.ru.
Правило поднимите наверх.
"Host: porno.ru" - это фрагмент с Get-запроса HTTP.
Вот так все просто.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.
/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=Ваш_WAN
Или так, для ленивых
/ip f f a ac=d ch=forward pr=t src-address=192.168.0.2 out-i=Ваш_WAN cont="Host: porno.ru"
Блокируется только один исходящий пакет еще на взлете - никаких входящих пакетов соответственно дальше уже не идет.
Исходящие пакеты TCP вообще копеечные по трафику.
А Ресурсы процессора на фильтрацию входящих пакетов совсем не тратятся. Потому как их просто нет.
Кроме того нормально откроются абсолютно все пакеты и сайты содержащие фразу "Host: porno.ru"
Тем самым закрываем только сайт porno.ru и ничего лишнего. В отличие от блокировки по IP.
Тем более IP может меняться. И сайт может иметь много IP.
Вместо 192.168.0.2 можно указать целую под-сеть 192.168.0.0/24
или в адресс-листе указать список IP адресов, каким запрещен доступ к web-ресурсу porno.ru.
Правило поднимите наверх.
"Host: porno.ru" - это фрагмент с Get-запроса HTTP.
Вот так все просто.
Последний раз редактировалось sontrava 24 мар 2012, 11:32, всего редактировалось 15 раз.
-
sontrava
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
Можно вообще создать правило,
которое дабавляет в Адрес-лист, пользователей,
которые ходят на определенные сайты, например на ukr.net
Или которые посещают сайты, содержащие слова "порно".
Или даже запретить вход на все сайты,
кроме разрешенного.
которое дабавляет в Адрес-лист, пользователей,
которые ходят на определенные сайты, например на ukr.net
Или которые посещают сайты, содержащие слова "порно".
Или даже запретить вход на все сайты,
кроме разрешенного.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Есть таблица символов
у них есть коды
например вот http://book.itep.ru/10/ascii.htm
смотрите шестнадцатиричную кодировку
у них есть коды
например вот http://book.itep.ru/10/ascii.htm
смотрите шестнадцатиричную кодировку
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
sontrava
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
Это понятно.
А как эти коды кинуть Content=.....
Content=\x8D будет искать строку "\x8D" а не символ
?
А как эти коды кинуть Content=.....
Content=\x8D будет искать строку "\x8D" а не символ
?
-
podarok66
- Модератор
- Сообщения: 4278
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
sontrava писал(а):Я делаю иначе.... Метод простой и шустрый. Всего одна строчка.
И не нужно пропускать все это через Web-Proxy.
Проще уже некуда.
Пользуйтесь на здоровье.
/ip firewall filter add action=drop chain=forward content="Host: porno.ru" protocol=tcp src-address=192.168.0.2 out-interface=WAN
Странно, попробовал на примере vk.com, не блокирует ничего. Правило у меня не срабатывает, хотя я загнал его на самый верх...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
sontrava
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
src-address=192.168.0.2 out-interface=WAN
WAN - поставьте название своего интерфейса в интернет!!!! Или уберите это правило вовсе.
Если у Вас PPoE, PPTP, L2TP соединение, то поставьте соответствующий интерфейс Вашего клиента!!!
src-address= Ваш IP адрес по DHCP! или PPoE....
Писать так Host: vk.com
Никаких лишних пробелов и символов! Ни в начале ни в конце ни в середине.
Только имя сайта. А Не Веб страницы!
У вас что? PPoE?
WAN - поставьте название своего интерфейса в интернет!!!! Или уберите это правило вовсе.
Если у Вас PPoE, PPTP, L2TP соединение, то поставьте соответствующий интерфейс Вашего клиента!!!
src-address= Ваш IP адрес по DHCP! или PPoE....
Писать так Host: vk.com
Никаких лишних пробелов и символов! Ни в начале ни в конце ни в середине.
Только имя сайта. А Не Веб страницы!
У вас что? PPoE?
Последний раз редактировалось sontrava 24 мар 2012, 01:29, всего редактировалось 8 раз.
-
sontrava
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
Copy-Paste используйте с головой.
-
podarok66
- Модератор
- Сообщения: 4278
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я Copy-Paste вообще не использую в таких случаях, набить пару строк в терминале проще и надежнее, по крайней мере голова в момент набора занята именно правилом, а не посторонними делами. Все, нашел причину. Вы тут ни при чем. У меня последнее время Webfig как-то странно работает, надо от работы в терминале из-под него отказываться напрочь. Набил то же правило в терминале Winbox, все встало на свои места. Очень изящное решение. Потому и стал сразу проверять работоспособность, что понравился сам принцип - одна строка в файерволе и вуаля.
Спасибо за подсказку. Будем использовать.
Спасибо за подсказку. Будем использовать.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...