Как заблокировать https доступ к сайтам через Mikrotik используя часть dns имени в качестве маски?

Question

[Вячеслав Николаев]

Существует ли способ заблокировать по https доступ ко всем сайтам, используя часть dns имени в качестве маски. Т.е., необходимо заблокировать доступ ко всем возможным вариантам (www.example.com, www1.example.com, site.example.com) используя "example.com" в качестве "маски"? При этом - заранее известно, что все эти сайты, которые необходимо заблокировать, имеют различные IP адреса. При чём таких "масок" желательно иметь несколько.
Материал, описанный тут, читал, однако предложенный скрипт у меня не заработал.
Использую Mikrotik RB2011L c RouteOS 6.34.4.
Понимаю, что можно установить «прозрачный» Squid с фильтрацией HTTPS ресурсов на какой-нибудь компьютер с Linux, но хотелось бы, по-возможности, решить эту проблему средствами RouteOS.

Answer 1

[Ziptar]

Ещё как вариант - если МТ используется как днс - в статические записи добавляем
example.com 127.0.0.1
.example.com 127.0.0.1

Не самый действенный и с нюансами, но про более действенные уже написали выше. :)
P.S. а ещё есть тындекс-браузер с его "секурными" днс, так что аккуратнее.

UPD: прочитал комменты. Собственно, я так поступаю как раз с некоторым софтом, который обращается к серверу по днс имени - и это не всегда желательно.
DHCP раздаёт адрес dns-сервера, указывая на контроллер домена, а на нём уже в качестве сервера пересылки стоит днс-сервер на микротике.

Comments

[Вячеслав Николаев]

Константин Антонов Хм... Спасибо. Как-то не догадался использовать Микротик в качестве сервера пересылки. :)

[Александр Романов]

Вячеслав Николаев: А чтобы пользователи не могли использовать другой ДНС-сервер, но об этом даже не догадывались, добавьте в nat правило

/ip firewall nat
add chain=dstnat action=redirect protocol=udp dst-port=53

[Вячеслав Николаев]

Александр: Сенк. Добавил. "Краткий" конфиг потихоньку приближается к 500 строкам.

[Ziptar]

Александр:
что бы пользователи не могли юзать сторонний днс - надо отбирать права локального администратора. Как правило - этого достаточно.
Ну а в случае с теми же тындекс днс-ками скорее всего не поможет.

[Ziptar]

Александр: не поможет ни то, ни другое*

[Вячеслав Николаев]

Константин Антонов: хотите сказать, что пользователь, прописав себе яндекс днс в качестве серверов, сможет обходить это правило в Микротике?

[Вячеслав Николаев]

Константин Антонов: я себе на Микротике прописал сервера для пересылки из этого списка www.shellhacks.com/ru/Besplatnye-Bystrye-Publichny...

[Вячеслав Николаев]

Константин Антонов: или Вы говорите о DNScrypt?

[Ziptar]

Вячеслав Николаев: о dnscrypt

[Александр Романов]

Константин Антонов: Этим правилом микротик любой днс-запрос завернёт на себя, и входящий, и проходящий на любой другой днс. И если назначена статика - то ею он и ответит. Пользователь даже не догадается, что его днс-запрос завернули.

[Ziptar]

Александр:
Завернуть то завернёт, но.
DNSCrypt, строго говоря, не днс-протокол. Вернее не стандартный. И работает поверх стандартного. И в теории может юзать любой протокол/порт.
На данный момент, судя по всему, если его придушить фаерволом - dnscrypt-клиент будет юзать стандартный системный резольвер, но они работают над этой проблемой. Кхм.

[Ziptar]

Александр:
Вообще надо просто подробнее смотреть как и на каком dst-port работает яндексовая реализация днскрипт. На udp/53 его, в теории, ничто не ограничивает и ограничивать не может.
Тут дело банально в том, что для установки браузера права локального администратора не нужны, для установки плагина на этот браузер - тем более, а в пределах самого себя этот браузер с его плагинами может творить практически всё что ему вздумается.

[Вячеслав Николаев]

Константин Антонов: Скорее всего для хрома и рыжелиса тоже появятся плагины, реализующие работу через DNSCrypt. Тындекс браузер - просто показал путь.

[Ziptar]

Вячеслав Николаев:
Я о том и толкую. Физически невозможно будет отследить все подобные плагины etc.
Единственный путь - ещё больше ограничивать пользователя в правах :)

[Вячеслав Николаев]

Константин Антонов: Получается, что нужно "выбрать" все порты, по которым работает разрешенный софт в сети. А остальное лочить? Грызут меня смутные сомнения, что мой Mikrotik RB2011L сможет и дальше всё разруливать между пользователями. И так у меня продолжительная загрузка проца 95% при двух каналах в инет и 50 юзерах - абсолютно не редкость. Если и дальше действовать по принципу "кому что разрешено" - производительности может не хватить. С другой стороны "не защищаться" от всякого хлама, который могут поставить юзера - тоже неправильно. Нарыл статейку по блокировке WatsAPP скриптом. Финальный вариант тут - forum.mikrotik.com/viewtopic.php?f=13&t=75263&star... Выглядит интересно.

[Ziptar]

Вячеслав Николаев:
Да зачем, если прецедентов пока не было? Это не критичный насущный вопрос же, а, скорее, гипотетическая ситуация.
Вот кто из простых смерт... пользователей, простите, слышал о днскрипт?

[Вячеслав Николаев]

Константин Антонов: Тындекс браузер предлагают ставить куча всякого "бесплатного" софта. Плюс - его найтах полно.

[Вячеслав Николаев]

*на сайтах полно

[Ziptar]

Вячеслав Николаев:
Проще покопаться в gpo и найти способ запретить устанавливать все браузеры подряд. Посадить всех на хром, например. А хром, на сколько я знаю, можно жёстко залочить на установку всяких там плагинов и прочей ереси.
На крайняк, если уж совсем критично - IE и белые списки софта.

[Вячеслав Николаев]

Константин Антонов: GPO - не панацея, если в сети есть компы не на Винде... Ладно. Пока решения, кроме лочить всё подряд не вижу.

[Ziptar]

Вячеслав Николаев:
В никсах как раз попроще будет. Шаг влево, шаг вправо - извольте рутовый пароль, товарищ юзер.

[Вячеслав Николаев]

Константин Антонов: Да просто хотелось бы в одном месте, практически "на выходе" из сети, на Микротике "прикручивать краник" и не заморачиваться.

[Ziptar]

Вячеслав Николаев:
Зависит от степени использованияф интеренета в вашем офисе.
В простейшем случае открыть в chain=forward и out-interface=wan tcp 80, 443, udp 53, 123, + почту остальное в reject

[Ziptar]

Вячеслав Николаев: кстати на счёт 53 udp - если по вышеописанной схеме днс на AD DC и в качестве сервера пересылки, то на форвард udp 53 открывать не нужно - только на output. И редиректить ничего не обязательно.

[Ziptar]

Вячеслав Николаев: в качестве сервера пересылки микротик*

[Вячеслав Николаев]

Константин Антонов: Дело в том, что у меня Микротик - не "последнее" устройство из локалки в мир. Дальше на обоих каналах в Интернет у меня Циски. Лучше пусть всё, что "лезет" из локалки на 53-й порт, заворачивается на Микротик.

[Ziptar]

Вячеслав Николаев:
Аккуратнее, не запорите запросы клиентских пк с виндой к AD. Я так понял, что AD у вас есть всё таки.

[Вячеслав Николаев]

Константин Антонов: Вся эта задача блокировка связана с тем, что у нас есть куча купленного софта для конструкторов и электронщиков, которая непонятно зачем периодически лезет на "свои" сайты и что-то туда шлёт. И это никак не отключается. Может это статистика работы, может еще чего. И производитель софта ничего не отвечает толком, что в этом трафике. Поэтому я и решил лочить эти домены. А на форумы и за обновлениями на этот софт хожу с ноута, который не связан с локалкой физически.
Запросы к AD у меня не доходят до Микротика, т.к. вся локалка "соединена" отдельным свичём, один порт которого - в Микротик, два порта из Микротика - в два Cisco ASA. Поэтому, ИМХО, до Микротика "доходит" только то, что пытается уже "вылезти" за пределы локалки.

[Ziptar]

Вячеслав Николаев:
Абсолютно аналогичная ситуация с САПР софтом. И да, если дело сугубо в софте - вполне достаточно микротик использовать как сервер пересылки. Пока айпишники в этот софт не захардкодят - будет работать. =)

Answer 2

[Vadim K]

Ну, можно попробовать создать в Firewall->Layer 7 выражение ^.+(example.com).*$
Затем создаем правило в Firewall блокируещее forward, выбрав в вкладке Advanced пункте Layer 7 Protocol созданное выражение. Я так на некоторых компах соцсети блокирую.

Comments

[Вячеслав Николаев]

Разве Layer 7 поможет с https?

[Vadim K]

Вячеслав Николаев: работает, соцсети по https же

[Вячеслав Николаев]

Vadim K: Способ не работает, если программа напрямую коннектится к сайту. Для открытия через браузер - решение подходит.

[yurnov]

Вячеслав Николаев: а в чем разница открытия через приложение и через браузер?

Answer 3

[paxlo]

Создаем regexp с блокируемыми url
/ip firewall layer7-protocol
add name=gvno regexp="^.*(odnoklassniki.ru|odkl.ru|ok.ru|vk.com|vkontakte.ru|vkontakte.com|durov.ru|fb.com|facebook.com).*\$"

Добавляем правило для файрвола (должно быть выше разрешающих правил для цепочки forward)
/ip firewall filter add action=reject chain=forward layer7-protocol=gvno protocol=tcp reject-with=tcp-reset

Comments

[Вячеслав Николаев]

paxlo Прочтите мой последний комментарий к предыдущему ответу. Данное решение работает только с браузерами.