Как правильно настроить firewall на Mikrotik для блокировки ресурсов?

Question

[Виталий]

Всем доброго!
Пытаюсь с помощю Mikrotik, заблокировать все кроме некоторых ресурсов, делаю это через layer 7 вот моя регулярка : ^.+(mail.google.com|whatsapp|viber).*$ которую назвал allowed_list, ну и потом в firewall:

add action=drop chain=forward layer7-protocol=!allowed_list src-address=192.168.88.0/24

И вот тут то я не совсем понимаю как сделать так, чтобы Whatsapp и Viber корректно работали.... Дело в том, что Whatsapp и Viber на моем телефоне работают, но вот голос(только на Whatsapp) и фото (Whatsapp и Viber) не работают :(

Также пытался заблокировать все порты кроме определенных:
TCP
4244,5222,5223,5228,5242,4244,8700,808,60377,60370,60377,60309,60378,60407,60401

UDP
5243,9785,7985,8700,8081,49658,54578,50813,64680,5223,5228,4244,5242,5222

Но не как....

Answer 1

[cssman]

посмотрите сетевой дамп, что лочится то и нужно разрешить. видео, аудио это же практически всегда просто udp.
гугл говорит, что данные голоса в вотсапе идут чаще по 59437 - 59581, но могут и шире по 40283-59581

Comments

[cssman]

вот с форума фортинета говорят другое:

TCP: 4244, 5222, 5223, 5228, 5242
UDP: 3478, 45395

Но точнее всего скажет сетевой дамп :)

[Виталий]

Согласно логов у меня получается диапазон TCP 50200-50400, и не факт, что это окнчательный пул

[cssman]

Виталий: точно TCP? может UDP?

[Виталий]

Для отправки медиа(пока тестил только фото) шлет по TCP. Насколько я понимаю, то это логично, использования tcp, так как нужно быть уверенным в том что пакеты доставленны....

[cssman]

Виталий: так а я Вам про голос, прочитайте что в ответе писал выше :) фото - ОК, TCP, голос и видео - UDP. возьмите даташит на мессенджеры, там должно быть описано либо придётся так открывать по логам. просто по L7 открыть - хорошо, но не каждое приложение так получится полностью открыть.

[Виталий]

cssman: Сейчас я UDP восе не блокирую, и по логах видно что ходит оно по TCP, я про картинки, так ка все остальное уже работает

[Виталий]

этот whatsapp стучится по 443 порту на разные ip, я так понимаю что в DNSах нигде не указано что это whatsapp, поетому L7 и addres list не срабатывают всегда

Answer 2

[Gregory]

начиная с 6.36 можно в адрес листы вводить доменные имена (например mail.ru) и он сам определит их ip.
Добавьте в firewoll > addres list сайты которые нужны и создайте правильно блокировать всё кроме этих адрес листов

Comments

[Виталий]

в address list записал: google.com , whatsapp, viber но что то оно не работает, не пропускает на те сайты и мобильые месенджеры тоже не работают add action=drop chain=forward dst-address-list=!allowed log=yes log-prefix=-drop- protocol=tcp src-address=192.168.88.0/24

[Gregory]

не всё так просто) тот же гугл использует еще допоолнительные сайты и поддомены например m.google.com и тд если открывать через firefox то в низу будет написано какой сайт он пытается загрузить

[Gregory]

да и добавьте ip вашего dns тоже в разрешеный список :)

[Виталий]

Maxlinus: Да, я учел поддоменны. Обновил прошивку Mikrotik, вроде как заработало, автоматом создалось несколько записей в address lists. И сейчас вроде как и на сайты нужные пускает и Whatsapp работает, но вот картики whatsapp не отправляет :( Смотрю в логах куда пакеты телефон шлет - порт разрешен, whois определяет dst ip как пренадлежащию whatsapp .... мистика