Перейти до

Блокировка сайтов https средствами Mikrotik


Рекомендованные сообщения

Доброго времени!

Есть такая проблема...

Юзверя выпускаются в Инет через микротик. Для тех у кого не проплачено - создается в файрволе адреслист "local_only" в котором ip всех абонов которым запрещен вход в инет. Но в файрволе есть правили которое позволяет заходить на сайт привата и ликпай для оплаты услуг. В следствии чего юзверя могут спокойно пользоваться и заходить на сайты соц сетей и таких как ютюб, гугл, яндекс...

Вопрос: НУЖНО СОДАТЬ ПРАВИЛО ДЛЯ ЭТОГО СПИСКА IP ЧТОБЫ БЛОКИРОВАЛО ВХОД НА ДАННЫЕ РЕСУРСЫ.

Ссылка на сообщение
Поделиться на других сайтах

Часть https разрешить а часть нет - на микротике не получится. Он не подменит сертификат своими средствами. Нужен проксик на сквиде или другом, но правда тогда браузер у пользователя будет орать об отаке "чоловик посерёдке".

Ссылка на сообщение
Поделиться на других сайтах

Часть https разрешить а часть нет - на микротике не получится. Он не подменит сертификат своими средствами. Нужен проксик на сквиде или другом, но правда тогда браузер у пользователя будет орать об отаке "чоловик посерёдке".

 

Пробовал делать по этой статье https://serveradmin.ru/blokirovka-sayta-v-mikrotik/

 

Не фильтрует... пускает на сайт.

Ссылка на сообщение
Поделиться на других сайтах

443-й зарубай. Но тогда оплата отпадет.

 

да это понятно...

как чтобы не блокировать ликпай и приват?

Ссылка на сообщение
Поделиться на других сайтах

Попробуй так:

1) /ip firewall layer7-protocol add name=vk regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"

2) /ip firewall filter add action=drop chain=forward layer7-protocol=vk out-interface=внешний.инт src-address=подсеть.ипишек

 

ток шо взял валявшуюся RBшку 450. Настроил с нуля. Выпускаю сам себя через маскарадинг. Прописал эти правила - арбайтен. ВК непашит. Правдо если сижу в ВК, и потом включаю правило - всеравно работает, пока не перезайду в браузер. Ну т.е. до принятия сертификата.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах

Вот что у меня получилось... из нескольких инструкций слепил до кучи :)

 

 

кому интересно могу выложить готовый файлик с ip адресами сервисов.

 

зы.

в группе добавил все ip адреса вконтакте, одноклассники, фейсбук, инстаграм, яндекс, ютюб

Ссылка на сообщение
Поделиться на других сайтах

сменятся\добавятся ипишки - сидеть мониторить? Или они скриптом сами в лист собираются?

 

мониторить пока... другого выхода по крайней мере не вижу

Ссылка на сообщение
Поделиться на других сайтах

по регулярке на лаер7 че не хочешь сделать? У меня работает на микроте, что под рукой.

 

надо попробовать...

но в выражении вроде бы только вконтакте...

Ссылка на сообщение
Поделиться на других сайтах

Вот что у меня получилось... из нескольких инструкций слепил до кучи :)

 

https://youtu.be/WmMdKg4Z7Gw

 

кому интересно могу выложить готовый файлик с ip адресами сервисов.

 

зы.

в группе добавил все ip адреса вконтакте, одноклассники, фейсбук, инстаграм, яндекс, ютюб

Кому интересно, те посмотрят список сетей всяких там одноглазиков в райпе по номеру AS
Ссылка на сообщение
Поделиться на других сайтах
но в выражении вроде бы только вконтакте...

А тяжело регулярку сделать для других? :blink: Куда лучше раз наделать регулярок, чем натыкать простыню из ИПишек и потом за ними еще и следи... Хотя, каждому свое..

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

 

ТАК ПРОБЕЙ :)

БУДУ РАД ПОМОЩИ...

ЗЫ.

ТОЛЬКО У НИХ НЕ ОДИН IP

Ссылка на сообщение
Поделиться на других сайтах
www.liqpay.com

liqpay.com

static.liqpay.com

fonts.gstatic.com

ajax.googleapis.com

fonts.googleapis.com

acs.privatbank.ua

api.privatbank.ua

qrapi.privatbank.ua

login.privatbank.ua

www.googleadservices.com

ssl.google-analytics.com

widget.siteheart.com

static.siteheart.com

privatbank.ua

www.privat24.ua

twpg.privatbank.ua

ecommerce.liqpay.com

themes.googleusercontent.com

www.google-analytics.com

google-analytics.com

stats.g.doubleclick.net

client.siteheart.com

clients.siteheart.com

seal.globessl.com

globessl.com

privat24.ua

privat24.privatbank.ua

js.honeybadger.io

coub.com

coubsecureassets-a.akamaihd.net

coubsecure-a.akamaihd.net

coubsecureassets-a.akamaihd.net

Ссылка на сообщение
Поделиться на других сайтах

 

www.liqpay.com
liqpay.com
static.liqpay.com
fonts.gstatic.com
ajax.googleapis.com
fonts.googleapis.com
acs.privatbank.ua
api.privatbank.ua
qrapi.privatbank.ua
login.privatbank.ua
www.googleadservices.com
ssl.google-analytics.com
widget.siteheart.com
static.siteheart.com
privatbank.ua
www.privat24.ua
twpg.privatbank.ua
ecommerce.liqpay.com
themes.googleusercontent.com
www.google-analytics.com
google-analytics.com
stats.g.doubleclick.net
client.siteheart.com
clients.siteheart.com
seal.globessl.com
globessl.com
privat24.ua
privat24.privatbank.ua
js.honeybadger.io
coub.com
coubsecureassets-a.akamaihd.net
coubsecure-a.akamaihd.net
coubsecureassets-a.akamaihd.net

 

 

Это доменные имена, а у них, и у каждого, может быть по несколько ip адресов

Ссылка на сообщение
Поделиться на других сайтах

 

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

 

ТАК ПРОБЕЙ :)

БУДУ РАД ПОМОЩИ...

ЗЫ.

ТОЛЬКО У НИХ НЕ ОДИН IP

 

А у них самих спросить?

...

 

Это доменные имена, а у них, и у каждого, может быть по несколько ip адресов

Распарсить А-записи?

...

www.googleadservices.com

ssl.google-analytics.com

widget.siteheart.com

static.siteheart.com

...

www.google-analytics.com

google-analytics.com

stats.g.doubleclick.net

client.siteheart.com

clients.siteheart.com

...

coub.com

coubsecureassets-a.akamaihd.net

coubsecure-a.akamaihd.net

coubsecureassets-a.akamaihd.net

Вот эти по идее нафиг не нужны.
Ссылка на сообщение
Поделиться на других сайтах

 

 

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

 

ТАК ПРОБЕЙ :)

БУДУ РАД ПОМОЩИ...

ЗЫ.

ТОЛЬКО У НИХ НЕ ОДИН IP

 

А у них самих спросить?

...

 

Это доменные имена, а у них, и у каждого, может быть по несколько ip адресов

Распарсить А-записи?

...

www.googleadservices.com

ssl.google-analytics.com

widget.siteheart.com

static.siteheart.com

...

www.google-analytics.com

google-analytics.com

stats.g.doubleclick.net

client.siteheart.com

clients.siteheart.com

...

coub.com

coubsecureassets-a.akamaihd.net

coubsecure-a.akamaihd.net

coubsecureassets-a.akamaihd.net

Вот эти по идее нафиг не нужны.

 

 

Да спрашивали... морозятся предоставлять конф.информацию

Ссылка на сообщение
Поделиться на других сайтах

а почему бы не взять ИП адреса привата и разрешить на них трафик? зачем нам анализировать сами пакеты?

 

Да а я о чем....

Чтобы к примеру разрешить только трафик с ликпея или привата нужно знать все ip адреса их серверов. Это не значит что к примеру сервис приват-24 находится физически на одном серваке и имеет один статический адрес ip. У них их немерено. А техподдержка привата и ликпая морозятся давать полный список ссылаясь на конф.информацию и банковскую тайну.

Ссылка на сообщение
Поделиться на других сайтах

 

а почему бы не взять ИП адреса привата и разрешить на них трафик? зачем нам анализировать сами пакеты?

 

Да а я о чем....

Чтобы к примеру разрешить только трафик с ликпея или привата нужно знать все ip адреса их серверов. Это не значит что к примеру сервис приват-24 находится физически на одном серваке и имеет один статический адрес ip. У них их немерено. А техподдержка привата и ликпая морозятся давать полный список ссылаясь на конф.информацию и банковскую тайну.

 

http://bgp.he.net/AS15742#_prefixes

Ссылка на сообщение
Поделиться на других сайтах
Там в новой версии RouterOS вроде есть возможность в адрес-листе указывать доменное имя. Кто проверял?

Добавил, получилось так:

                           
3973   Access-allow      ya.ru                                
3974 D ;;; ya.ru
     Access-allow      87.250.250.242   
 
первое добавил я, второе создалось само.
 
Router OS 6.37.1
Відредаговано ua.feldsher
Ссылка на сообщение
Поделиться на других сайтах
  • 1 year later...

Я год назад аналогично задавал вопрос и получил ряд примеров, но увы, так закрыть и не получилось. Большинство юзает Оперу, часть Гугл Хром в котором можно установить ВПН и лазить дальше. Решение только одно - покупать умную железку которая бы удовлетворяла нашим потребностям. На данный момент она стоила не меренных гривасов. Решил пока забит на это все. 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Myr4ik
      Всем привет!
      Когда-то на просторах локала находил as-set со списком российских asn, но сейчас что-то не нахожу.
      Поделитесь, пожалуйста.
       
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
×
×
  • Створити нове...