Как в роутере Mikrotik сделать настройку запрета доступа к определенным сайтам всем кроме некоторых клиентов?

Question

[Fyodor]

В общем нужно чтобы в соц сетях перестали время терять, при этом есть те кто работает с помощью вконтакте в том числе, им нужно оставить доступ.
В интернете нахожу инструкции, но там обычно просто запрет всем.

Answer 1

[Клёвый Админ]

Сложно. В МК нет прямых механизмов блокировки по типу сайта или вменяемой блокировки по ДНС. Правильнее прозрачно заворачивать веб трафик на соседний узел, где будет поднят комплект Squid + Sams (например сборка pfsense или что-то посерьёзнее например Kerio + OrangeWebFilter), для тех пользователей кому не нужна блокировка трафик будет идти прямо, для тех кого филтруем - заворачиваем на этот фильтрющий узел.

Работать будет оч быстро, без гемороя с прокси и с пониманием того как ходит трафик.

Но если этот вариант не катит, то:
1. В ДНС сервере приколачиваем узел вконтакта к определённому IP (либо на МК либо на ином ДНС сервере, не важно)
2. Запрещаем юзат другие ДНС
3. В MK делаем два адрес листа, в одном IP адреса "неугодных пользователей" во втором (приколоченные в ДНС) адреса узлов до которых доступ нужно блокнуть
4. Создаём правило фром один адрес лист то другой адрес лист - дени.

Comments

[Fyodor]

Закралась мне мысль что через правку hosts будет проще сделать. К тому же у VK много IP адресов же. сторонний сервер поднимать точно не станем.

[Клёвый Админ]

@Richard_Ferlow ну ка бы хост он локально, его пользователь отредактировать может. Лучше уж тогда просто на ДНС прописать vk.com - 127.0.0.1

Answer 2

[ASPI]

В RouterOS есть Web Proxy, работает как прозрачный прокси, единственный минус жрет ресурсы.
И тут вопрос, какой mikrotik используете? Если 1100AHx2 или типа того, то ресурсов на блокировку соц сетей хватит (кэширование же не нужно). И да, в mikrotik`e есть KVM, если на х86 платформе собран, то кто мешает в виртуалке поставить сквид, и завернуть трафик в него.
По поводу персонализации блокировки в mikrotik`e - тут куча решений (в основном для фаервола, но кто мешает применить их для встроенного прокси сервера), от адрес листов, до весьма не тривиальных решений на скриптах.

Answer 3

[Кирилл 1]

Как насчет сервиса типа skydns ?? Прописать в mkи все

Comments

[Fyodor]

Как тут некоторым пользователям разрешить доступ?

[Кирилл 1]

Смысли вы уже заблочили ресурсы skydns'om? Ну привелигированным пользователям отдавайте другие dns'ы вот и вся логика...:-)

Answer 4

[Александр]

Вот тут ребята предложили более красивый вариант со скриптом:
ironsf.blogspot.ru/2013/11/mikrotik.html

Answer 5

[EsTaF]

"Вот тут ребята предложили более красивый вариант со скриптом:
ironsf.blogspot.ru/2013/11/mikrotik.html"
Для банальных соцсетей - да. Но на для других блокировок - жесть. На одном ип может висеть несколько сайтов.