Mikrotik: Возможен ли роутинг на основе layer-7?

Question

[akelsey]

Сразу оговорюсь, маршрутизация по "Address List" предлагать не стоит, это уже работает, но хочется комфорта.
Объясню, хочу забить в layer-7 список регулярных выражений fqdn ресурсов в интернете которые заботливо заблочены моим провайдером по распоряжению сами знаете кого, и что бы пакеты сами на основании этого уходили в туннель.
Если кто реализовал - прошу поделится, есть у меня конечно смутные сомнения и могу допустить что задуманное не реализуемо, но это в силу отсутствия нужных знаний невозможно ни доказать ни опровергнуть.
PS
На крайний случай есть мысль про воркэраунд, в том же VPN сервере резолвить все возможные айпи принадлежащие списку хостов и забирать в микротик в Address List автоматически. Но хотелось бы всё сделать на микротике, без лишних телодвижений.
Заранее спасибо.

Answer 1

[LESHIY_ODESSA]

Да возможен — Manual:IP/Firewall/L7 - MikroTik Wiki

Пример блокировки Windows телеметрии :

/ip firewall layer7-protocol
add name="Windows Telemetry" regexp="^.+(data.microsoft.com|telemetry.microsoft.com).*\$"
/ip firewall filter
add action=reject chain=forward comment="Layer7 Protocol WINDOWS Telemetry" in-interface=bridge layer7-protocol="Windows Telemetry" protocol=tcp reject-with=tcp-reset
add action=reject chain=forward layer7-protocol="Windows Telemetry" out-interface=bridge protocol=tcp reject-with=tcp-reset

Как заблокировать торрент на 100%

How to Block torrent 100%? Only 2 lines. It is solved.

Comments

[akelsey]

Вопрос был о маршрутизации, не о блокировке )

Answer 2

[akelsey]

Похоже я тут нашёл приблизительный ответ на мой вопрос. Знаний правда не хватает, попробую поискать и поэкспериментировать.

Answer 3

[Fess]

• В блок-листе уже более 16к url'ов.
  
• Layer-7 будет обрабатывать КАЖДЫЙ пакет не самым шустрым CPU, на котором уже накручено шифрование VPN.
  

Предлагаю Вам рассмотреть другой вариант маршрутизации закрытых ресурсов.
К примеру, резолвить ip всех хостов, объединять их в подсети и импортировать эти подсети для маршрутизации в микротик.

У маршрутизатора есть ftp, так что можно вынести сложную логику за его пределы и закидывать результирующий файл на роутер для скармливания по крону.

Вам же не нужна маршрутизация одной страницы типа ya.ru/1.html через VPN а ya.ru/2.html через своего провайдера? Это было бы невероятно расточительно, с точки зрения ресурсов CPU.

Comments

[akelsey]

Я это всё понимаю, 16k урлов мне не нужно будет, максимум 10-100. Проц все равно простаивает ) Да спасибо, ваше решение (в вариациях) у меня написано в Workaround.