Страница 1 из 1
Блокировка browsec
Добавлено: 27 ноя 2016, 10:45
TauRus_tj
Добрый день, уважаемые форумчане. Подскажите пожалуйста, кто-нибудь справился с расширением для chrome "browsec"? Я ручками завел,
/ip firewall filter
add action=drop chain=forward comment="Block BROWSEC" dst-address=\
198.211.96.0/19 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=188.226.192.0/18 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=188.226.128.0/18 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=188.166.0.0/17 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=178.62.128.0/17 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=128.199.0.0/16 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=95.85.32.0/21 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=82.196.8.0/21 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=82.196.0.0/21 src-address=\
192.168.0.0/24
add action=drop chain=forward dst-address=80.240.128.0/20 src-address=\
192.168.0.0/24
но это как-то не так...Слишком громоздко и не удобно. Можно конечно же всё забить в адреслист, но опять же адрес лист заполнится...
Раньше, год или два назад, browsec без проблем блокировался через layer7 " ^.+(postlm.com).*$ ", может кто-нибудь в курсе, возможно ли опять его дропить через layer7?
Заранее благодарю за ответы.
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 13:19
podarok66
TauRus_tj писал(а):но опять же адрес лист заполнится...
В смысле? У меня на машинке уже пару лет
адрес-лист в несколько тысяч адресов обрабатывается без проблем. Что у вас там заполнится?
И вообще, попробуйте добавить в адрес-лист доменное имя.
Вот тут обсуждали, эту плюшку ввели в 6.36
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 13:30
TauRus_tj
Ну я имел ввиду, что адрес лист в 10-20-100-1000 айпишников, вещь неудобная, за ссылку спасибо
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 14:29
Dragon_Knight
TauRus_tj, если 100 не удобно, то что скажите на 30341 запись?
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 16:53
podarok66
TauRus_tj писал(а):адрес лист в 10-20-100-1000 айпишников, вещь неудобная
Да почему же? И в чем неудобство? У меня как раз несколько тысяч адресов и есть, неудобств не ощущаю абсолютно. Правило в фаерволе одно, то есть точка контроля одна. А число адресов - кого оно волнует.
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 17:38
TauRus_tj
podarok66 писал(а):TauRus_tj писал(а):адрес лист в 10-20-100-1000 айпишников, вещь неудобная
Да почему же? И в чем неудобство? У меня как раз несколько тысяч адресов и есть, неудобств не ощущаю абсолютно. Правило в фаерволе одно, то есть точка контроля одна. А число адресов - кого оно волнует.
Ну Вам видней) Ветка ж для начинающих, я тока разжевываю. У меня еще более 200 в адреслисте не было, и то флуд по 53 порту...
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 17:51
podarok66
TauRus_tj писал(а): У меня еще более 200 в адреслисте не было, и то флуд по 53 порту...
Опять не понимаю, зачем флуд по 53 порту соотносить с каким-то адрес-листом. Там как бы непредумышленные действия, связанные с особенностями микротика и DNS в целом. Заблокировали 53 порт извне да и ладно.
Но общем поймите, количество записей в адрес-листах практически почти никак не сказываются на нагрузке. Нам явным примером служат исследования нашего
Dragon_Knight, вон у него с листе 30k+ адресов и ничего, работает железка.
Re: Блокировка browsec
Добавлено: 27 ноя 2016, 21:05
TauRus_tj
podarok66 писал(а):TauRus_tj писал(а): У меня еще более 200 в адреслисте не было, и то флуд по 53 порту...
Опять не понимаю, зачем флуд по 53 порту соотносить с каким-то адрес-листом. Там как бы непредумышленные действия, связанные с особенностями микротика и DNS в целом. Заблокировали 53 порт извне да и ладно.
Но общем поймите, количество записей в адрес-листах практически почти никак не сказываются на нагрузке. Нам явным примером служат исследования нашего
Dragon_Knight, вон у него с листе 30k+ адресов и ничего, работает железка.
ясно, адреслист сделал на флуд, чтобы потом провайдеру скинуть/показать
По теме сделал так:
/ip firewall address-list
add address=80.240.128.0/20 list=browsec.com
add address=82.196.0.0/21 list=browsec.com
add address=82.196.8.0/21 list=browsec.com
add address=95.85.32.0/21 list=browsec.com
add address=128.199.0.0/16 list=browsec.com
add address=178.62.128.0/17 list=browsec.com
add address=188.166.0.0/17 list=browsec.com
add address=188.226.128.0/18 list=browsec.com
add address=188.226.192.0/18 list=browsec.com
add address=198.211.96.0/19 list=browsec.com
/ip firewall filter
add action=reject chain=forward comment="drop Browsec for others" \
dst-address-list=LAN protocol=tcp reject-with=tcp-reset src-address-list=\
browsec.com src-port=443
работает...