Как на Mikrotik заблокировать все но оставить доступ на определенные сайты/домены?

Question

[Ян]

Суть, нужно для определенной подсети заблокировать ВЕСЬ интернет (http,https) но оставить доступ только на определенные сайты и домены.
Попробовал так:
chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 content=ya.ru log=no log-prefix=""
chain=forward action=reject reject-with=tcp-reset protocol=tcp src-address=192.168.1.0/24 dst-port=80 log=no log-prefix=""
Эти правила не работают. Блокируется все, зайти на ya.ru не получаться.

Попробовал так же через Layer7, все равно не получается.
Интернет пишет что нужно попробовать через прокси, но https все равно пройдет.

В какую сторону нужно копать или что требуется почитать?

Answer 1

[Ярослав Еремин]

Самый простой способ, фильтровать все таки по ip-адресам. Сделай список ip-адресов или подсетей, где находятся разрешенные сайты и блокируй пакеты на 80 порту которые отправляются не на эти адреса.

Answer 2

[Maksim]

Добавить порт 443 в DST-PORT

Comments

[Ян]

Правила для 80 порта все равно не работают. Я уже не стал делать еще для 443 порта.

[Maksim]

покажите скриншот с winbox c раздела firewall-filter rules

[Ян]

0 chain=forward action=accept protocol=tcp src-address=192.168.1.0/24
content=ya.ru log=no log-prefix=""

1 chain=forward action=reject reject-with=tcp-reset protocol=tcp
src-address=192.168.1.0/24 dst-port=80 log=no log-prefix=""

2 chain=input action=drop src-address-list=BOGON in-interface=ether3 (FIBER)
log=no log-prefix=""

3 chain=input action=accept protocol=tcp in-interface=ether3 (FIBER)
dst-port=1723 log=no log-prefix=""

4 chain=input action=accept protocol=gre in-interface=ether3 (FIBER) log=no
log-prefix=""

5 chain=input action=accept connection-state=established log=no log-prefix=">

6 chain=input action=accept connection-state=related log=no log-prefix=""

7 chain=input action=drop connection-state=new in-interface=!ether1 (LAN)
log=no log-prefix=""

[Maksim]

Ян Незамутдинов: Добавите 443 порт и пробуйте

[Ян]

Maksim: https://habrastorage.org/files/8ae/c4f/bd2/8aec4fb...

[Ян]

Maksim: не хочет залетать в правило. Вес равно не открывает.

[Maksim]

Ян Незамутдинов: и все равно сайты открываются?

[Maksim]

Maksim: так не пойму открывает щас или не открывает.
По сути с правилом то что вы создали не должно нечего открываться.

[Ян]

Maksim: Они не открываются. С этим то проблем нет. Мне нужно что бы открывался только ya.ru допустим.

[Maksim]

Ян Незамутдинов: попробуйте указать порта 80,443 в первом правиле (разрешающем правиле) (DST-PORT...)

[Ян]

Maksim: Тот же результат. В правило не входит. Хром пишет ERR_CONNECTION_REFUSED, хотя должен в теории ERR_CONNECTION_RESET. Просторы интеренета мне подсказывают что Микротик по контенту очень плохо работает. Предлагают через регулярки решить (^.+(ya.ru).*$). Я попробовал. Результат тот же, ya.ru открываться не хочет.

[Maksim]

Ян Незамутдинов: ну попробуйте тогда что то без SSL, к примеру контент: edstak
и потом сайт открыть www.edstak.com

[Maksim]

Maksim: в принципе не е*ите себе мозги первое правило вместо content используйте dst. address (создайте этот лист набросайте туда IP сеть яндекса) и будет счастье

[Ян]

Maksim: Ну яндекс тут для примера. Мне нужно открыть для доступа пару порталов с нужной информацией для работников, но остальное отрубить. В идеале что бы у работников был доступ к домену и его поддоменам. mysite.ru, mysite.ru/photos, mysite.ru/content, https://mail.mysite.ru.

[Maksim]

Ян Незамутдинов: ну я домаю позиция контент работает только с открытой информацией HTTPS тут беда, поэтому самый простой вариант сделать с помощью IP назначения.

[Ян]

Maksim: Я то же думал что так проще будет и да же реализовал это. Но. На порталах есть большое количество сервисов которые входят в домен но находятся на других ip. А выяснять где и что там валяется слишком долго, порталы не мои.
Я вообще думал это распространенная практика, сделать белые списки для разрешенных сайтов а остальное заблокировать.

[Maksim]

Ян Незамутдинов: ну это все равно не весь инет, мало ли что там еще есть. Я как понимаю нужно чтобы пользователи не отвлекались от работы? если так то по IP подойдет

Answer 3

[Cdelphi78]

Добавить порт 443 в DST-PORT

Я не знаток, но как это поможет

Comments

[Maksim]

это не я это Т9

[alegzz]

1. разрешать по ip адресам
2. настроить Proxy: wiki.mikrotik.com/wiki/Manual:IP/Proxy

Answer 4

[Gregory]

я вот пока в голове кручу идею такую: mikrotik+openwrt через MetaROUTERs , на сам openwrt ставим 3proxy у него есть поддержка протоколов HTTP, HTTPS, SOCKS, POP3, SMTP;, и пускаем трафик через него:)
это только идея в голове:)

Answer 5

[cckfnn]

Не уверен что сработает, но есть смысл пустить трафик прозрачно через прокси микротика, и в нем уже правилами запретить и разрешить необходимое.

Comments

[Ян]

Не полуиться. Прозрачный прокси Микротика умеет работать только с http. https он завернуть не сможет.