Mikrotik. Как сделать блокировку соц.сетей и других интернет страниц для определенных IP в локальной сети?

Question

[cahya]

С микротиком работаю не давно. Так что грубо говоря начинаю все с нуля.
Компьютерная сеть без домена
Задача:
Нужно заблокировать определенному кругу лиц доступ в соц. сети и оставить,только доступ на рабочие порталы(сайты)
У остальных сотрудников должен быть полный доступ в интерент, без каких либо ограничений.

Comments

[Lynn «Кофеман»]

А как router должен определять кто клиент?

Answer 1

[Gregory]

начиная с версии v6.36, в адресные листы можно добавлять доменные имена!
*) firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);

если пк не много то
в IP > Firewall. > Address_Lists добавляете нужные сайты с именем одной группу.

/ip firewall address-list
add address=mail.ru list=web_block
add address=drom.ru list=web_block

и правило в фаервол

/ip firewall filter
add action=drop chain=forward dst-address-list=web_block src-address=192.168.100.2
add action=drop chain=forward dst-address-list=web_block src-address=192.168.100.5

раньше соцсети я блокировал так:
it-pages.ru/mikrotik-blokirovka-sajjtov-s-pomoshhy...

Answer 2

[Дмитрий Шицков]

Вариантов 2 - непрозрачный прокси или фаерволл. Если рабочие порталы без https - можно и прозрачный прокси.
Первый способ потребует настройки прокси в браузерах. Разрешаете избранным пользователям доступ куда можно и запрещаете всё прочее.

Что-то все маны в интернете на прозрачный прокси, поэтому подойдёт и официальная Вики. Просто не заворачиваем трафик на прокси.
wiki.mikrotik.com/wiki/Manual:IP/Proxy

Comments

[cahya]

Портал на https
Остальным пользователям интернет доступен без ограничения.
Так как лучше осуществить задачу?

[Дмитрий Шицков]

cahya: я написал как лучше. Дальше выбирайте как вам проще реализовать. Если вам нужно заблокировать всё и дать доступ на 2-3 сайта со статическим IP - будет проще фаерволом и не потребуется настройка прокси в браузере.
Если "рабочих" сайтов большое число и/или у них не 1 IP - только прокси, отключение NAT.

Answer 3

[Spheniscus]

Если захотят, то найдут способ обойти. Если сильно нагружают сеть, то можно настроить шейпер на адреса и зарезать скорость по самое нехочу. А можно логирование трафика с предоставлением статистики руководству и штрафными санкциями за посещение соцсетей.
И да, телефонами и прочими гаджетами никто не запрещает пользоваться

Answer 4

[Max]

add chain=forward comment="accept VK" content=vk.com src-address-list=allowsocial резрешили всем входить вк из адерслиста "allowsocial" туда добавляем разрешенные ип адреса
add action=reject chain=forward comment="drop vk.com" content=vk.com src-address=192.168.0.0/24 - запретили всем.

Answer 5

[st0ner]

советую через layer 7 protocol

ip firewall filter add chain=forward src-mac-address= layer7-protocol=social action=drop
или src-address - по IP

а во вкладке создаешь правило с такой записью, например
^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$

Answer 6

[Иван]

При отсутствии домена это обходится настолько легко, что даже секретарши справляются ...