Задать вопрос
Lamaster-M
@Lamaster-M
изучалкин-ковырялкин

Как заблокировать https доступ к сайтам через Mikrotik используя часть dns имени в качестве маски?

Существует ли способ заблокировать по https доступ ко всем сайтам, используя часть dns имени в качестве маски. Т.е., необходимо заблокировать доступ ко всем возможным вариантам (www.example.com, www1.example.com, site.example.com) используя "example.com" в качестве "маски"? При этом - заранее известно, что все эти сайты, которые необходимо заблокировать, имеют различные IP адреса. При чём таких "масок" желательно иметь несколько.
Материал, описанный тут, читал, однако предложенный скрипт у меня не заработал.
Использую Mikrotik RB2011L c RouteOS 6.34.4.
Понимаю, что можно установить «прозрачный» Squid с фильтрацией HTTPS ресурсов на какой-нибудь компьютер с Linux, но хотелось бы, по-возможности, решить эту проблему средствами RouteOS.
  • Вопрос задан
  • 4914 просмотров
Подписаться 5 Оценить Комментировать
Решения вопроса 1
Ziptar
@Ziptar
Дилетант широкого профиля
Ещё как вариант - если МТ используется как днс - в статические записи добавляем
example.com 127.0.0.1
.example.com 127.0.0.1

Не самый действенный и с нюансами, но про более действенные уже написали выше. :)
P.S. а ещё есть тындекс-браузер с его "секурными" днс, так что аккуратнее.

UPD: прочитал комменты. Собственно, я так поступаю как раз с некоторым софтом, который обращается к серверу по днс имени - и это не всегда желательно.
DHCP раздаёт адрес dns-сервера, указывая на контроллер домена, а на нём уже в качестве сервера пересылки стоит днс-сервер на микротике.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@OLQLOSH
Системный администратор
Ну, можно попробовать создать в Firewall->Layer 7 выражение ^.+(example.com).*$
Затем создаем правило в Firewall блокируещее forward, выбрав в вкладке Advanced пункте Layer 7 Protocol созданное выражение. Я так на некоторых компах соцсети блокирую.
Ответ написан
@paxlo
Создаем regexp с блокируемыми url
/ip firewall layer7-protocol
add name=gvno regexp="^.*(odnoklassniki.ru|odkl.ru|ok.ru|vk.com|vkontakte.ru|vkontakte.com|durov.ru|fb.com|facebook.com).*\$"

Добавляем правило для файрвола (должно быть выше разрешающих правил для цепочки forward)
/ip firewall filter add action=reject chain=forward layer7-protocol=gvno protocol=tcp reject-with=tcp-reset
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы