Задать вопрос

Mikrotik. Как сделать блокировку соц.сетей и других интернет страниц для определенных IP в локальной сети?

С микротиком работаю не давно. Так что грубо говоря начинаю все с нуля.
Компьютерная сеть без домена
Задача:
Нужно заблокировать определенному кругу лиц доступ в соц. сети и оставить,только доступ на рабочие порталы(сайты)
У остальных сотрудников должен быть полный доступ в интерент, без каких либо ограничений.
  • Вопрос задан
  • 6221 просмотр
Подписаться 6 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
Maxlinus
@Maxlinus
начиная с версии v6.36, в адресные листы можно добавлять доменные имена!
*) firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);

если пк не много то
в IP > Firewall. > Address_Lists добавляете нужные сайты с именем одной группу.

/ip firewall address-list
add address=mail.ru list=web_block
add address=drom.ru list=web_block


и правило в фаервол
/ip firewall filter
add action=drop chain=forward dst-address-list=web_block src-address=192.168.100.2
add action=drop chain=forward dst-address-list=web_block src-address=192.168.100.5


раньше соцсети я блокировал так:
it-pages.ru/mikrotik-blokirovka-sajjtov-s-pomoshhy...
Ответ написан
Комментировать
Вариантов 2 - непрозрачный прокси или фаерволл. Если рабочие порталы без https - можно и прозрачный прокси.
Первый способ потребует настройки прокси в браузерах. Разрешаете избранным пользователям доступ куда можно и запрещаете всё прочее.

Что-то все маны в интернете на прозрачный прокси, поэтому подойдёт и официальная Вики. Просто не заворачиваем трафик на прокси.
wiki.mikrotik.com/wiki/Manual:IP/Proxy
Ответ написан
@Spheniscus
Если захотят, то найдут способ обойти. Если сильно нагружают сеть, то можно настроить шейпер на адреса и зарезать скорость по самое нехочу. А можно логирование трафика с предоставлением статистики руководству и штрафными санкциями за посещение соцсетей.
И да, телефонами и прочими гаджетами никто не запрещает пользоваться
Ответ написан
Комментировать
@WarStyle
add chain=forward comment="accept VK" content=vk.com src-address-list=allowsocial резрешили всем входить вк из адерслиста "allowsocial" туда добавляем разрешенные ип адреса
add action=reject chain=forward comment="drop vk.com" content=vk.com src-address=192.168.0.0/24 - запретили всем.
Ответ написан
Комментировать
@st0ner
советую через layer 7 protocol

ip firewall filter add chain=forward src-mac-address= layer7-protocol=social action=drop
или src-address - по IP

а во вкладке создаешь правило с такой записью, например
^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$
Ответ написан
Комментировать
@LiguidCool
При отсутствии домена это обходится настолько легко, что даже секретарши справляются ...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы