Russian Users MikroTik | Форум пользователей MikroTik

Добрый день. RouteOS 6.20, модель rb951g-2hnd

Создаю правила:
1. /ip firewall layer7-protocol add name=soc regexp="^.+(vk.com|vkontakte|odnoklassniki|vk|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
и
2. /ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=soc

но одноклассники и вконтакте продолжают работать, и видно, что пакеты не идут через это правило, а если в регулярном выражении просто написать vk? тогда весь трафик перестает идти, похоже, что само правило FireWall-a работает, но что-то не так с регулярным выражением.

Кто знает решение этой проблемы?

Вы правило вверх поднимите, выше разрешающих и всё заработает. Во всяком случае должно...

добавьте в начале

^.*(get|GET).+

и работает

Ничего не помогают, пишут, что: Важное условие: Mikrotik должен выступать в роли DNS-сервера.
http://wel.org.ua/mikrotik-2/%D0%BA%D0% ... 0%BB%D0%B0
Это действительно так важно?

ДНС ни причем. 7 уровень работает уже тогда, когда непосредственно данные передаются, то есть имя уже разрешено.

^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$

Вот эта строка точно работает. Сейчас проверил. И даже ДНС менял на компе ради интереса.

Спасибо, теперь все работает.

Правда про DNS я не уверен, правило может и раньше сработать.

Ребят, один момент, 5 букв: 'HTTPS', и ваше правило гуляет дальше.
Достаточно набрать: 'https://vk.com/' и всё откроет. Почему? - потому что https трафик шифруется.

Так что гарантированно можно зарубить СС только на уровне пула IP адресов этих сетей. Проще, но менее надёжно, - на уровне DNS сервера микротика.

Да это понятно.

Вопрос задали, я у себя попробовал и ответил.
В принципе может еще куда пригодится. А в целом вопросы блокировок - это тема отдельной диссертации.