Блокировка социальных сетей средствами Mikrotik

[kpik 0]

 

При всем уважении к предыдущему автору olapchuk, считаю что так будет более правильно.

# Блокирование отдельных социальных сетей 

/ip firewall layer7-protocol

add comment="Block_Social" name=Block_Social regexp=\

    "^.+(youtube|vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"

 

 

# Добавляем правило

/ip firewall filter

add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0

 

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

[Magus 22]

проще всего ИМХО поднять днс и на нем статически прописать блокируемые хосты как 127.0.0.1(или ваш редирект сервер) "ip dns static add name=*.vk.com address=127.0.0.1"

+ запретить исходяшие на 8080/8081 и 3128 - это отрежет 99.8% всех бесплатных проксей

+ блок на 53 UDP/TCP c НАТ подсети, что б левых днс не прописали.

 

Пишу по памяти + точно знаю что днс сервер микротика поддерживает регексп, так что можна написать штуки посложнее

Відредаговано 2014-09-19 15:36:55 Magus

[netstriker 19]

Одно время блокировал соц.сети через layer7, в результате все вроде ок, и соц.сети в блоке и весь остальной инет работает, но страницы на которых есть блоки соц.сетей начинают грузится очень долго, а такие блоки в нынешнее время есть на большинстве нужных в работе сайтах. По загрузке CPU все было ок, не более 25%.

 

проще всего ИМХО поднять днс и на нем статически прописать блокируемые хосты как 127.0.0.1(или ваш редирект сервер) "ip dns static add name=*.vk.com address=127.0.0.1"

+ запретить исходяшие на 8080/8081 и 3128 - это отрежет 99.8% всех бесплатных проксей

+ блок на 53 UDP/TCP c НАТ подсети, что б левых днс не прописали.

 

Пишу по памяти + точно знаю что днс сервер микротика поддерживает регексп, так что можна написать штуки посложнее

На ДНС можно, но как тогда разрешить доступ Директорату?

Відредаговано 2014-09-19 15:42:42 netstriker

[astraliens 16]

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

 

 

вашим правилом никак ибо это ssl

Відредаговано 2014-09-19 16:31:43 astraliens

[kpik 0]

 

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

 

 

вашим правилом никак ибо это ssl

 

подскажите пожалуйста как тогда заблокировать 80 и 443

[Magus 22]

На ДНС можно, но как тогда разрешить доступ Директорату?

Елементарно, в дхсп сервере создать статические записи для приближенных с правилом добавлять их в фаервол ип лист + раздавать им гугл днс, правило блокировки внешнего ДНС настроить с исключением айпи со списка созданого дхсп сервером. Или не париться со списками и просто не ограничивать другие днс сервера, а дхсп роздавать гугл днс для начальства.

Відредаговано 2014-09-20 07:19:46 Magus

[Magus 22]

 

 

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

 

 

вашим правилом никак ибо это ssl

 

подскажите пожалуйста как тогда заблокировать 80 и 443

 

Все на порт 443 зашифровано, потому можна заблокировать только по айпи/ДНС.

[sov 66]

Возможно, ресурсы у железяки закончились. Регэкспы - довольно прожорливая штука.