Перейти до

Блокировка социальных сетей средствами Mikrotik

PLOGIS

Автор: PLOGIS,
в Для тих, хто в пелюшках ще

 Share Подписчики 1

Рекомендованные сообщения

PLOGIS

PLOGIS 3

Опубликовано:
Опубликовано:

Добрый вечер всем!)))

На работе поставили задачу блокировать соцсети(

На выходе Mikrotik 741G - Обновил до последней версии.

К провайдеру дозваниваемся через PPPOE, на микротике поднят NAT и DHCP сервер - вот так и живет наша внутренняя сеть.

В интернете нашол мануал как разрулить данный вопрос - http://habrahabr.ru/sandbox/67786/

Все делаю как по ссылке, но мля, после данных действий не работает весь Google и Mail.ru - хоть я и не вношу ети домены в списки блокировки. Как только создаю правило в фаерволе /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

Сразу не заходит на гугл, и маил.ру - вынос мозга - помогите пожалуйста разобратся, за ранее благодарен!

 

Ссылка на сообщение
Поделиться на других сайтах
SavPasha

SavPasha 13

Опубліковано:
Опубліковано: (відредаговано) 
/ip firewall filter
add action=reject chain=forward comment="rjc> host: www.ex.ua" content=www.ex.ua \
    reject-with=icmp-host-unreachable
add action=reject chain=forward comment="rjc> host: facebook.com" content=\
    facebook.com reject-with=icmp-host-unreachable
add action=reject chain=forward comment="rjc> host: twitter.com" content=\
    twitter.com reject-with=icmp-host-unreachable
add action=reject chain=forward comment="rjc> host: vk.com" content=vk.com \
    reject-with=icmp-host-unreachable
add action=reject chain=forward comment="rjc> host: ebay.com" content=ebay.com \
    reject-with=icmp-host-unreachable
add action=reject chain=forward comment="rjc> host: odnoklassniki" content=\
    odnoklassniki reject-with=icmp-host-unreachable
add action=reject chain=forward comment="rjc> host: youtube.com" content=\
    youtube.com reject-with=icmp-host-unreachable

МОЖЕТ КОМУ ПОМОЖЕТ!! Блокировка по хостам!! ІР не блокируються!! тому по ІР можна зайти на сайт!!

Предложеное max_m ОЧЕНО ХОРОШО но его можна обойти прокси сервером из вне. ЕСЛИ НАДО ПОНОСТЮ БЛОКИРУВАТЬ ТО КРОМЕ ВСЕГО СКАЗАНОГО ВАМ ЕЩО НУЖНО Читать Mikrotik Leyer7

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах
PLOGIS

PLOGIS 3

Опубліковано:
  • Автор
Опубліковано:

Тут або треба робити через Proxy, або через фаєрвол забороняти доступ до ір адрес соціалок.

Я создал правило в фаервол>нат ловить весь трафик на 80 порту и отправлять на порт 8080 в action поставил redirect port 8080

Соотвецтвенно поднял прокси на микротике и ловлю ним весь трафик. Vk.com блокирует, но гугл и меил ру не работают вообще, в браузере идет соеденение.... И все тут. Что за хрень, кто сталкивался?

Ссылка на сообщение
Поделиться на других сайтах
olapchuk

olapchuk 9

Опубліковано:
Опубліковано:
/ip firewall layer7-protocol

add name=soc regexp=\

    vk.com|mail.ru|odnoklassniki.ru|facebook.com|youtube.com|fishki.net

 

/ip firewall filte

add action=reject chain=forward layer7-protocol=soc protocol=tcp reject-with=tcp-reset src-address="кого блокувати ір або сеть 192.168.1.0/24"

 

тільки мінус я не додумався як зробити переадресацію на сторінку що сайт заблокований

Ссылка на сообщение
Поделиться на других сайтах
John_Doe

John_Doe 301

Опубліковано:
Опубліковано:

тільки мінус я не додумався як зробити переадресацію на сторінку що сайт заблокований

маркировать соединение и маркированые редиректить на заглушку
Ссылка на сообщение
Поделиться на других сайтах
Sugrov

Sugrov 0

Опубліковано:
Опубліковано:

При всем уважении к предыдущему автору olapchuk, считаю что так будет более правильно.

# Блокирование отдельных социальных сетей 
/ip firewall layer7-protocol
add comment="Block_Social" name=Block_Social regexp=\
    "^.+(youtube|vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
 
 
# Добавляем правило
/ip firewall filter
add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0
Ссылка на сообщение
Поделиться на других сайтах
vaslan

vaslan 45

Опубліковано:
Опубліковано: (відредаговано)

Незабуваймо колеги що блокуючи через ip firewall layer7-protocol буде досить нехила нагрузка на процесор

краще обійтись без layer7

Відредаговано vaslan
Ссылка на сообщение
Поделиться на других сайтах
PLOGIS

PLOGIS 3

Опубліковано:
  • Автор
Опубліковано:

Через Layer7 все получилось!)

Есть еще пару моментов.

Как бы сделать так, чтобы с 9:00 до 21:00 все ето блокировалось, а после 21:00 -разблакировалось.

Ну еще желательно сделать разблакировку в обеденное время с 13:00 до 14:00

- Спасибо большое за ответы!!!

Ссылка на сообщение
Поделиться на других сайтах
PLOGIS

PLOGIS 3

Опубліковано:
  • Автор
Опубліковано:

есть ли готовый вариант скрипта для того чтобы дергать вот ето правило?

/ip firewall filter
add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0
Ссылка на сообщение
Поделиться на других сайтах
PLOGIS

PLOGIS 3

Опубліковано:
  • Автор
Опубліковано:

Прикол, 5 минут прошо - перестало на все сайты заходить! Выключил правило 

/ip firewall filter
add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0
Все заработало
Ссылка на сообщение
Поделиться на других сайтах
Sugrov

Sugrov 0

Опубліковано:
Опубліковано:

PLOGIS, прошу уточнить. "Прикол, 5 минут прошо - перестало на все сайты заходить!" На ВСЕ т.е. указанные в /ip firewall layer7-protocol или ВООБЩЕ НА ВСЕ.

 

1. А еще бы интересно было делать исключения для определенных ип адресов ) - реализуемо. 

2. есть ли готовый вариант скрипта для того чтобы дергать вот ето правило? - напишем и ответим.

Просто сейчас работой завален. 

Ссылка на сообщение
Поделиться на других сайтах
PLOGIS

PLOGIS 3

Опубліковано:
  • Автор
Опубліковано:

Перестало заходить вообще на все сайты! Пингуется все..но через все браузеры - невозможно отобразить страницу.

Ссылка на сообщение
Поделиться на других сайтах
PLOGIS

PLOGIS 3

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

работает! короче, после 5ти минут работы почти на все сайты массово не заходит. у нас бухгаттерия ведется в docs.google.com - так вот, 5 минут и все, туда не заходит, хоть в списке блокируемых етого хоста нет!

Відредаговано PLOGIS
Ссылка на сообщение
Поделиться на других сайтах
Sugrov

Sugrov 0

Опубліковано:
Опубліковано:

Возвращаясь к вопросу который задавал PLOGIS

"есть ли готовый вариант скрипта для того чтобы дергать вот ето правило?

/ip firewall filter
add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0"
------------------
ОТВЕЧАЕМ
# Enable Disable Firewall Rules
# В нашем случае мы выполняем действия с Firewall Rules имеющим
# комментарий comment="Block_Social" (Если в комментарии между словами
# есть пробелы, не забываем взять его в кавычки) 
 
# script code DISABLE
/ip firewall filter disable [/ip firewall filter find comment=Block_Social]
 
# script code ENABLE
/ip firewall filter enable [/ip firewall filter find comment=Block_Social]
 
Создаем эти два скрипта, а в Scheduler определяем расписание их запуска и будет вам счастье  :)
 

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...