PLOGIS 3 Posted 2014-09-15 15:08:41 Share Posted 2014-09-15 15:08:41 Добрый вечер всем!))) На работе поставили задачу блокировать соцсети( На выходе Mikrotik 741G - Обновил до последней версии. К провайдеру дозваниваемся через PPPOE, на микротике поднят NAT и DHCP сервер - вот так и живет наша внутренняя сеть. В интернете нашол мануал как разрулить данный вопрос - http://habrahabr.ru/sandbox/67786/ Все делаю как по ссылке, но мля, после данных действий не работает весь Google и Mail.ru - хоть я и не вношу ети домены в списки блокировки. Как только создаю правило в фаерволе /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 Сразу не заходит на гугл, и маил.ру - вынос мозга - помогите пожалуйста разобратся, за ранее благодарен! Link to post Share on other sites
holubets 43 Posted 2014-09-15 16:24:09 Share Posted 2014-09-15 16:24:09 Тут або треба робити через Proxy, або через фаєрвол забороняти доступ до ір адрес соціалок. Link to post Share on other sites
max_m 92 Posted 2014-09-15 17:24:57 Share Posted 2014-09-15 17:24:57 Тебе сюда почитай http://www.technotrade.com.ua/Articles/blocking_sites_on_mikrotik_2013-11-25.php Link to post Share on other sites
SavPasha 10 Posted 2014-09-15 17:29:14 Share Posted 2014-09-15 17:29:14 (edited) /ip firewall filter add action=reject chain=forward comment="rjc> host: www.ex.ua" content=www.ex.ua \ reject-with=icmp-host-unreachable add action=reject chain=forward comment="rjc> host: facebook.com" content=\ facebook.com reject-with=icmp-host-unreachable add action=reject chain=forward comment="rjc> host: twitter.com" content=\ twitter.com reject-with=icmp-host-unreachable add action=reject chain=forward comment="rjc> host: vk.com" content=vk.com \ reject-with=icmp-host-unreachable add action=reject chain=forward comment="rjc> host: ebay.com" content=ebay.com \ reject-with=icmp-host-unreachable add action=reject chain=forward comment="rjc> host: odnoklassniki" content=\ odnoklassniki reject-with=icmp-host-unreachable add action=reject chain=forward comment="rjc> host: youtube.com" content=\ youtube.com reject-with=icmp-host-unreachable МОЖЕТ КОМУ ПОМОЖЕТ!! Блокировка по хостам!! ІР не блокируються!! тому по ІР можна зайти на сайт!! Предложеное max_m ОЧЕНО ХОРОШО но его можна обойти прокси сервером из вне. ЕСЛИ НАДО ПОНОСТЮ БЛОКИРУВАТЬ ТО КРОМЕ ВСЕГО СКАЗАНОГО ВАМ ЕЩО НУЖНО Читать Mikrotik Leyer7 Edited 2014-09-15 17:46:04 by SavPasha Link to post Share on other sites
PLOGIS 3 Posted 2014-09-15 17:49:28 Author Share Posted 2014-09-15 17:49:28 Тут або треба робити через Proxy, або через фаєрвол забороняти доступ до ір адрес соціалок.Я создал правило в фаервол>нат ловить весь трафик на 80 порту и отправлять на порт 8080 в action поставил redirect port 8080 Соотвецтвенно поднял прокси на микротике и ловлю ним весь трафик. Vk.com блокирует, но гугл и меил ру не работают вообще, в браузере идет соеденение.... И все тут. Что за хрень, кто сталкивался? Link to post Share on other sites
independent 18 Posted 2014-09-15 17:55:36 Share Posted 2014-09-15 17:55:36 IP-Firewall-Filter rules Link to post Share on other sites
Інет.укр 110 Posted 2014-09-15 17:56:30 Share Posted 2014-09-15 17:56:30 можу допомогти заблокувати Link to post Share on other sites
PLOGIS 3 Posted 2014-09-15 19:05:49 Author Share Posted 2014-09-15 19:05:49 Допоможiть плз Link to post Share on other sites
olapchuk 9 Posted 2014-09-16 06:15:24 Share Posted 2014-09-16 06:15:24 /ip firewall layer7-protocol add name=soc regexp=\ vk.com|mail.ru|odnoklassniki.ru|facebook.com|youtube.com|fishki.net /ip firewall filte add action=reject chain=forward layer7-protocol=soc protocol=tcp reject-with=tcp-reset src-address="кого блокувати ір або сеть 192.168.1.0/24" тільки мінус я не додумався як зробити переадресацію на сторінку що сайт заблокований Link to post Share on other sites
John_Doe 301 Posted 2014-09-16 06:58:18 Share Posted 2014-09-16 06:58:18 тільки мінус я не додумався як зробити переадресацію на сторінку що сайт заблокованиймаркировать соединение и маркированые редиректить на заглушку Link to post Share on other sites
Sugrov 0 Posted 2014-09-16 07:04:17 Share Posted 2014-09-16 07:04:17 При всем уважении к предыдущему автору olapchuk, считаю что так будет более правильно. # Блокирование отдельных социальных сетей /ip firewall layer7-protocol add comment="Block_Social" name=Block_Social regexp=\ "^.+(youtube|vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$" # Добавляем правило /ip firewall filter add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0 Link to post Share on other sites
vaslan 45 Posted 2014-09-16 10:09:45 Share Posted 2014-09-16 10:09:45 (edited) Незабуваймо колеги що блокуючи через ip firewall layer7-protocol буде досить нехила нагрузка на процесор краще обійтись без layer7 Edited 2014-09-16 10:09:55 by vaslan Link to post Share on other sites
astraliens 16 Posted 2014-09-16 10:33:01 Share Posted 2014-09-16 10:33:01 помимо нагрузки на cpu L7 по ssl не поможет вам.. лучше режте подсетями Link to post Share on other sites
PLOGIS 3 Posted 2014-09-16 10:38:31 Author Share Posted 2014-09-16 10:38:31 Через Layer7 все получилось!) Есть еще пару моментов. Как бы сделать так, чтобы с 9:00 до 21:00 все ето блокировалось, а после 21:00 -разблакировалось. Ну еще желательно сделать разблакировку в обеденное время с 13:00 до 14:00 - Спасибо большое за ответы!!! Link to post Share on other sites
PLOGIS 3 Posted 2014-09-16 10:43:17 Author Share Posted 2014-09-16 10:43:17 А еще бы интересно было делать исключения для определенных ип адресов ) Link to post Share on other sites
astraliens 16 Posted 2014-09-16 10:44:35 Share Posted 2014-09-16 10:44:35 как вариант через sheduler скриптами Link to post Share on other sites
PLOGIS 3 Posted 2014-09-16 10:56:17 Author Share Posted 2014-09-16 10:56:17 есть ли готовый вариант скрипта для того чтобы дергать вот ето правило? /ip firewall filter add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0 Link to post Share on other sites
PLOGIS 3 Posted 2014-09-16 11:05:03 Author Share Posted 2014-09-16 11:05:03 Прикол, 5 минут прошо - перестало на все сайты заходить! Выключил правило /ip firewall filter add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0 Все заработало Link to post Share on other sites
Sugrov 0 Posted 2014-09-16 11:52:54 Share Posted 2014-09-16 11:52:54 PLOGIS, прошу уточнить. "Прикол, 5 минут прошо - перестало на все сайты заходить!" На ВСЕ т.е. указанные в /ip firewall layer7-protocol или ВООБЩЕ НА ВСЕ. 1. А еще бы интересно было делать исключения для определенных ип адресов ) - реализуемо. 2. есть ли готовый вариант скрипта для того чтобы дергать вот ето правило? - напишем и ответим. Просто сейчас работой завален. Link to post Share on other sites
PLOGIS 3 Posted 2014-09-16 11:55:17 Author Share Posted 2014-09-16 11:55:17 Перестало заходить вообще на все сайты! Пингуется все..но через все браузеры - невозможно отобразить страницу. Link to post Share on other sites
Sugrov 0 Posted 2014-09-16 12:16:34 Share Posted 2014-09-16 12:16:34 Однако ?! Минутку ... Link to post Share on other sites
Kiano 600 Posted 2014-09-16 13:40:55 Share Posted 2014-09-16 13:40:55 разве это работает для https? как на счёт google chrome? Link to post Share on other sites
PLOGIS 3 Posted 2014-09-16 13:57:28 Author Share Posted 2014-09-16 13:57:28 (edited) работает! короче, после 5ти минут работы почти на все сайты массово не заходит. у нас бухгаттерия ведется в docs.google.com - так вот, 5 минут и все, туда не заходит, хоть в списке блокируемых етого хоста нет! Edited 2014-09-16 13:57:59 by PLOGIS Link to post Share on other sites
astraliens 16 Posted 2014-09-16 14:29:40 Share Posted 2014-09-16 14:29:40 может таки подсетями Link to post Share on other sites
Sugrov 0 Posted 2014-09-17 12:07:45 Share Posted 2014-09-17 12:07:45 Возвращаясь к вопросу который задавал PLOGIS "есть ли готовый вариант скрипта для того чтобы дергать вот ето правило? /ip firewall filter add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0" ------------------ ОТВЕЧАЕМ # Enable Disable Firewall Rules # В нашем случае мы выполняем действия с Firewall Rules имеющим # комментарий comment="Block_Social" (Если в комментарии между словами # есть пробелы, не забываем взять его в кавычки) # script code DISABLE /ip firewall filter disable [/ip firewall filter find comment=Block_Social] # script code ENABLE /ip firewall filter enable [/ip firewall filter find comment=Block_Social] Создаем эти два скрипта, а в Scheduler определяем расписание их запуска и будет вам счастье Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now