Есть ли возможность полностью пркрыть доступ к соцсетям средствами Микротика?

Question

[Алексей]

Всем привет! Ситуация следующая: имеем микрот в качестве маршрутизатора и несколько точек доступа. Реально ли на микроте как-то полностью прикрыть доступ к соцсетям? На данный момент это реализовано следующим образом: в фаевроле создано правило, которое дропает все пакеты, идущие по адресам из "блэк" листа для всех пользователей. НО в приложениях на мобильных устройствах пакеты ходят. Можно ли это дело как-то поправить? Заранее благодарю.

Answer 1

[CityCat4]

Полностью - нет. Потому что существует стопицот "шлюзов" для соцсетей, которые перенаправляют трафик. Нужен прокси с бампингом, нужно настроить всю сеть так, чтобы все ходили только через него и пара показательных выдач люлей тем, что ходить не будет.

В общем как всегда - если решать административно-техническую проблему только каким-то одним способом - получится ровно то, что получится - половина решения :)

Answer 2

[Дмитрий]

старческое ворчание

Опять решают организационный вопрос не административными средствами, а техническими.

Вам надо всего лишь узнать все ip адреса всех социальных сетей и их блокировать файерволом. Или же гонять весь трафик через L7 фильтры.

Comments

[AntHTML]

узнать все ip адреса всех социальных сетей

а также анонимайзеров, vpn-ов, DOH и тому подобного

[paxlo]

Весь не надо, это вредные советы. Достаточно маркировать по первому соединению, а потом все пакеты этого соединения отправлять куда надо.

Answer 3

[Пума Тайланд]

Ну так мобильные версии соцсетей наверно висят просто на других айпи или апи для мобильных приложений

Answer 4

[Gregory]

для запретов teamviewer, ammy и прочего я использую такое правило, возможно вам так же удастся заблокировать некоторые соцсети

/ip firewall filter
add action=drop chain=forward connection-mark=Block_list_conn

/ip firewall mangle
add action=mark-connection chain=prerouting layer7-protocol="DROP remote" new-connection-mark=Block_list_conn passthrough=yes

/ip firewall layer7-protocol
add name="DROP remote" regexp="^.+(ammyy|teamviewer|anydesk|aeroadmin|logmein|beyondtrust|remotetopc|ultraviewer|litemanager|join.me).*\$"

Answer 5

[Ragnar Black]

Конечно способ есть.

Опишу основные шаги:
шаг 1. составить address list с ip адресами всех сайтов, доступ к которым желаете перекрыть. Address list на современных ROS умеет в резолв доменных имён.
шаг 2. Промаркировать соединения по этим ip адресам.
шаг 3. промаркировать маршруты на основе предыдущего шага.
шаг 4. заворачивать весь трафик в blackhole маршрут, либо куда хотите, всё на ваше усмотрение
шаг 5. (опционально) На основе шага 3 с помощью L7 фильтра определять dns запросы в заголовках пакетов и блокировать их

Как-то так. ;)