Jump to content
Local
www.хомнет.укр

Блокировка сайтов https средствами Mikrotik

Recommended Posts

Доброго времени!

Есть такая проблема...

Юзверя выпускаются в Инет через микротик. Для тех у кого не проплачено - создается в файрволе адреслист "local_only" в котором ip всех абонов которым запрещен вход в инет. Но в файрволе есть правили которое позволяет заходить на сайт привата и ликпай для оплаты услуг. В следствии чего юзверя могут спокойно пользоваться и заходить на сайты соц сетей и таких как ютюб, гугл, яндекс...

Вопрос: НУЖНО СОДАТЬ ПРАВИЛО ДЛЯ ЭТОГО СПИСКА IP ЧТОБЫ БЛОКИРОВАЛО ВХОД НА ДАННЫЕ РЕСУРСЫ.

Share this post


Link to post
Share on other sites

Часть https разрешить а часть нет - на микротике не получится. Он не подменит сертификат своими средствами. Нужен проксик на сквиде или другом, но правда тогда браузер у пользователя будет орать об отаке "чоловик посерёдке".

Share this post


Link to post
Share on other sites

Часть https разрешить а часть нет - на микротике не получится. Он не подменит сертификат своими средствами. Нужен проксик на сквиде или другом, но правда тогда браузер у пользователя будет орать об отаке "чоловик посерёдке".

 

Пробовал делать по этой статье https://serveradmin.ru/blokirovka-sayta-v-mikrotik/

 

Не фильтрует... пускает на сайт.

Share this post


Link to post
Share on other sites

443-й зарубай. Но тогда оплата отпадет.

Share this post


Link to post
Share on other sites

Попробуй так:

1) /ip firewall layer7-protocol add name=vk regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"

2) /ip firewall filter add action=drop chain=forward layer7-protocol=vk out-interface=внешний.инт src-address=подсеть.ипишек

 

ток шо взял валявшуюся RBшку 450. Настроил с нуля. Выпускаю сам себя через маскарадинг. Прописал эти правила - арбайтен. ВК непашит. Правдо если сижу в ВК, и потом включаю правило - всеравно работает, пока не перезайду в браузер. Ну т.е. до принятия сертификата.

Edited by Dimkers

Share this post


Link to post
Share on other sites

Вот что у меня получилось... из нескольких инструкций слепил до кучи :)

 

 

кому интересно могу выложить готовый файлик с ip адресами сервисов.

 

зы.

в группе добавил все ip адреса вконтакте, одноклассники, фейсбук, инстаграм, яндекс, ютюб

Share this post


Link to post
Share on other sites

сменятся\добавятся ипишки - сидеть мониторить? Или они скриптом сами в лист собираются?

Share this post


Link to post
Share on other sites

сменятся\добавятся ипишки - сидеть мониторить? Или они скриптом сами в лист собираются?

 

мониторить пока... другого выхода по крайней мере не вижу

Share this post


Link to post
Share on other sites

по регулярке на лаер7 че не хочешь сделать? У меня работает на микроте, что под рукой.

Share this post


Link to post
Share on other sites

по регулярке на лаер7 че не хочешь сделать? У меня работает на микроте, что под рукой.

 

надо попробовать...

но в выражении вроде бы только вконтакте...

Share this post


Link to post
Share on other sites

Вот что у меня получилось... из нескольких инструкций слепил до кучи :)

 

https://youtu.be/WmMdKg4Z7Gw

 

кому интересно могу выложить готовый файлик с ip адресами сервисов.

 

зы.

в группе добавил все ip адреса вконтакте, одноклассники, фейсбук, инстаграм, яндекс, ютюб

Кому интересно, те посмотрят список сетей всяких там одноглазиков в райпе по номеру AS

Share this post


Link to post
Share on other sites
но в выражении вроде бы только вконтакте...

А тяжело регулярку сделать для других? :blink: Куда лучше раз наделать регулярок, чем натыкать простыню из ИПишек и потом за ними еще и следи... Хотя, каждому свое..

Edited by Dimkers

Share this post


Link to post
Share on other sites

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

Share this post


Link to post
Share on other sites

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

 

ТАК ПРОБЕЙ :)

БУДУ РАД ПОМОЩИ...

ЗЫ.

ТОЛЬКО У НИХ НЕ ОДИН IP

Share this post


Link to post
Share on other sites
www.liqpay.com

liqpay.com

static.liqpay.com

fonts.gstatic.com

ajax.googleapis.com

fonts.googleapis.com

acs.privatbank.ua

api.privatbank.ua

qrapi.privatbank.ua

login.privatbank.ua

www.googleadservices.com

ssl.google-analytics.com

widget.siteheart.com

static.siteheart.com

privatbank.ua

www.privat24.ua

twpg.privatbank.ua

ecommerce.liqpay.com

themes.googleusercontent.com

www.google-analytics.com

google-analytics.com

stats.g.doubleclick.net

client.siteheart.com

clients.siteheart.com

seal.globessl.com

globessl.com

privat24.ua

privat24.privatbank.ua

js.honeybadger.io

coub.com

coubsecureassets-a.akamaihd.net

coubsecure-a.akamaihd.net

coubsecureassets-a.akamaihd.net

Share this post


Link to post
Share on other sites

 

www.liqpay.com
liqpay.com
static.liqpay.com
fonts.gstatic.com
ajax.googleapis.com
fonts.googleapis.com
acs.privatbank.ua
api.privatbank.ua
qrapi.privatbank.ua
login.privatbank.ua
www.googleadservices.com
ssl.google-analytics.com
widget.siteheart.com
static.siteheart.com
privatbank.ua
www.privat24.ua
twpg.privatbank.ua
ecommerce.liqpay.com
themes.googleusercontent.com
www.google-analytics.com
google-analytics.com
stats.g.doubleclick.net
client.siteheart.com
clients.siteheart.com
seal.globessl.com
globessl.com
privat24.ua
privat24.privatbank.ua
js.honeybadger.io
coub.com
coubsecureassets-a.akamaihd.net
coubsecure-a.akamaihd.net
coubsecureassets-a.akamaihd.net

 

 

Это доменные имена, а у них, и у каждого, может быть по несколько ip адресов

Share this post


Link to post
Share on other sites

 

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

 

ТАК ПРОБЕЙ :)

БУДУ РАД ПОМОЩИ...

ЗЫ.

ТОЛЬКО У НИХ НЕ ОДИН IP

 

А у них самих спросить?

...

 

Это доменные имена, а у них, и у каждого, может быть по несколько ip адресов

Распарсить А-записи?

...

www.googleadservices.com

ssl.google-analytics.com

widget.siteheart.com

static.siteheart.com

...

www.google-analytics.com

google-analytics.com

stats.g.doubleclick.net

client.siteheart.com

clients.siteheart.com

...

coub.com

coubsecureassets-a.akamaihd.net

coubsecure-a.akamaihd.net

coubsecureassets-a.akamaihd.net

Вот эти по идее нафиг не нужны.

Share this post


Link to post
Share on other sites

 

 

А почему не пробить айпишки привата и ликпей и разрешать только их, а остальное блокировать?

 

ТАК ПРОБЕЙ :)

БУДУ РАД ПОМОЩИ...

ЗЫ.

ТОЛЬКО У НИХ НЕ ОДИН IP

 

А у них самих спросить?

...

 

Это доменные имена, а у них, и у каждого, может быть по несколько ip адресов

Распарсить А-записи?

...

www.googleadservices.com

ssl.google-analytics.com

widget.siteheart.com

static.siteheart.com

...

www.google-analytics.com

google-analytics.com

stats.g.doubleclick.net

client.siteheart.com

clients.siteheart.com

...

coub.com

coubsecureassets-a.akamaihd.net

coubsecure-a.akamaihd.net

coubsecureassets-a.akamaihd.net

Вот эти по идее нафиг не нужны.

 

 

Да спрашивали... морозятся предоставлять конф.информацию

Share this post


Link to post
Share on other sites

а почему бы не взять ИП адреса привата и разрешить на них трафик? зачем нам анализировать сами пакеты?

Share this post


Link to post
Share on other sites

а почему бы не взять ИП адреса привата и разрешить на них трафик? зачем нам анализировать сами пакеты?

 

Да а я о чем....

Чтобы к примеру разрешить только трафик с ликпея или привата нужно знать все ip адреса их серверов. Это не значит что к примеру сервис приват-24 находится физически на одном серваке и имеет один статический адрес ip. У них их немерено. А техподдержка привата и ликпая морозятся давать полный список ссылаясь на конф.информацию и банковскую тайну.

Share this post


Link to post
Share on other sites

 

а почему бы не взять ИП адреса привата и разрешить на них трафик? зачем нам анализировать сами пакеты?

 

Да а я о чем....

Чтобы к примеру разрешить только трафик с ликпея или привата нужно знать все ip адреса их серверов. Это не значит что к примеру сервис приват-24 находится физически на одном серваке и имеет один статический адрес ip. У них их немерено. А техподдержка привата и ликпая морозятся давать полный список ссылаясь на конф.информацию и банковскую тайну.

 

http://bgp.he.net/AS15742#_prefixes

Share this post


Link to post
Share on other sites

Там в новой версии RouterOS вроде есть возможность в адрес-листе указывать доменное имя. Кто проверял?

Share this post


Link to post
Share on other sites
Там в новой версии RouterOS вроде есть возможность в адрес-листе указывать доменное имя. Кто проверял?

Добавил, получилось так:

                           
3973   Access-allow      ya.ru                                
3974 D ;;; ya.ru
     Access-allow      87.250.250.242   
 
первое добавил я, второе создалось само.
 
Router OS 6.37.1
Edited by ua.feldsher

Share this post


Link to post
Share on other sites

Я год назад аналогично задавал вопрос и получил ряд примеров, но увы, так закрыть и не получилось. Большинство юзает Оперу, часть Гугл Хром в котором можно установить ВПН и лазить дальше. Решение только одно - покупать умную железку которая бы удовлетворяла нашим потребностям. На данный момент она стоила не меренных гривасов. Решил пока забит на это все. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×