Как на Mikrotik заблокировать все но оставить доступ на определенные сайты/домены?
Суть, нужно для определенной подсети заблокировать ВЕСЬ интернет (http,https) но оставить доступ только на определенные сайты и домены.
Попробовал так:
chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 content=ya.ru log=no log-prefix=""
chain=forward action=reject reject-with=tcp-reset protocol=tcp src-address=192.168.1.0/24 dst-port=80 log=no log-prefix=""
Эти правила не работают. Блокируется все, зайти на ya.ru не получаться.
Попробовал так же через Layer7, все равно не получается.
Интернет пишет что нужно попробовать через прокси, но https все равно пройдет.
В какую сторону нужно копать или что требуется почитать?
Самый простой способ, фильтровать все таки по ip-адресам. Сделай список ip-адресов или подсетей, где находятся разрешенные сайты и блокируй пакеты на 80 порту которые отправляются не на эти адреса.
Maksim: Тот же результат. В правило не входит. Хром пишет ERR_CONNECTION_REFUSED, хотя должен в теории ERR_CONNECTION_RESET. Просторы интеренета мне подсказывают что Микротик по контенту очень плохо работает. Предлагают через регулярки решить (^.+(ya.ru).*$). Я попробовал. Результат тот же, ya.ru открываться не хочет.
Maksim: в принципе не е*ите себе мозги первое правило вместо content используйте dst. address (создайте этот лист набросайте туда IP сеть яндекса) и будет счастье
Maksim: Ну яндекс тут для примера. Мне нужно открыть для доступа пару порталов с нужной информацией для работников, но остальное отрубить. В идеале что бы у работников был доступ к домену и его поддоменам. mysite.ru, mysite.ru/photos, mysite.ru/content, https://mail.mysite.ru.
Ян Незамутдинов: ну я домаю позиция контент работает только с открытой информацией HTTPS тут беда, поэтому самый простой вариант сделать с помощью IP назначения.
Maksim: Я то же думал что так проще будет и да же реализовал это. Но. На порталах есть большое количество сервисов которые входят в домен но находятся на других ip. А выяснять где и что там валяется слишком долго, порталы не мои.
Я вообще думал это распространенная практика, сделать белые списки для разрешенных сайтов а остальное заблокировать.
Ян Незамутдинов: ну это все равно не весь инет, мало ли что там еще есть. Я как понимаю нужно чтобы пользователи не отвлекались от работы? если так то по IP подойдет
я вот пока в голове кручу идею такую: mikrotik+openwrt через MetaROUTERs , на сам openwrt ставим 3proxy у него есть поддержка протоколов HTTP, HTTPS, SOCKS, POP3, SMTP;, и пускаем трафик через него:)
это только идея в голове:)
Простой
