Перейти до

Блокировка социальных сетей средствами Mikrotik


Рекомендованные сообщения

 

При всем уважении к предыдущему автору olapchuk, считаю что так будет более правильно.

# Блокирование отдельных социальных сетей 
/ip firewall layer7-protocol
add comment="Block_Social" name=Block_Social regexp=\
    "^.+(youtube|vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
 
 
# Добавляем правило
/ip firewall filter
add action=reject chain=forward comment="Block_Social" disabled=no layer7-protocol=Block_Social protocol=tcp reject-with=tcp-reset src-address=0.0.0.0/0

 

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

Ссылка на сообщение
Поделиться на других сайтах

проще всего ИМХО поднять днс и на нем статически прописать блокируемые хосты как 127.0.0.1(или ваш редирект сервер) "ip dns static add name=*.vk.com address=127.0.0.1"

+ запретить исходяшие на 8080/8081 и 3128 - это отрежет 99.8% всех бесплатных проксей

+ блок на 53 UDP/TCP c НАТ подсети, что б левых днс не прописали.

 

Пишу по памяти + точно знаю что днс сервер микротика поддерживает регексп, так что можна написать штуки посложнее

Відредаговано Magus
Ссылка на сообщение
Поделиться на других сайтах

Одно время блокировал соц.сети через layer7, в результате все вроде ок, и соц.сети в блоке и весь остальной инет работает, но страницы на которых есть блоки соц.сетей начинают грузится очень долго, а такие блоки в нынешнее время есть на большинстве нужных в работе сайтах. По загрузке CPU все было ок, не более 25%.

 

проще всего ИМХО поднять днс и на нем статически прописать блокируемые хосты как 127.0.0.1(или ваш редирект сервер) "ip dns static add name=*.vk.com address=127.0.0.1"

+ запретить исходяшие на 8080/8081 и 3128 - это отрежет 99.8% всех бесплатных проксей

+ блок на 53 UDP/TCP c НАТ подсети, что б левых днс не прописали.

 

Пишу по памяти + точно знаю что днс сервер микротика поддерживает регексп, так что можна написать штуки посложнее

На ДНС можно, но как тогда разрешить доступ Директорату?

Відредаговано netstriker
Ссылка на сообщение
Поделиться на других сайтах

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

 

 

вашим правилом никак ибо это ssl

Відредаговано astraliens
Ссылка на сообщение
Поделиться на других сайтах

 

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

 

 

вашим правилом никак ибо это ssl

 

подскажите пожалуйста как тогда заблокировать 80 и 443

Ссылка на сообщение
Поделиться на других сайтах
На ДНС можно, но как тогда разрешить доступ Директорату?

Елементарно, в дхсп сервере создать статические записи для приближенных с правилом добавлять их в фаервол ип лист + раздавать им гугл днс, правило блокировки внешнего ДНС настроить с исключением айпи со списка созданого дхсп сервером. Или не париться со списками и просто не ограничивать другие днс сервера, а дхсп роздавать гугл днс для начальства.

Відредаговано Magus
Ссылка на сообщение
Поделиться на других сайтах

 

 

создал правило но не распространяется на 443 порт, блокирует только на 80 порту, подскажите пожалуйста как исправить?

 

 

вашим правилом никак ибо это ssl

 

подскажите пожалуйста как тогда заблокировать 80 и 443

 

Все на порт 443 зашифровано, потому можна заблокировать только по айпи/ДНС.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...