Блокировка сайтов?

Question

[Генадий]

Есть сетка, с куча пк.
Роутер MikroTik RouterOS 6.37.3.
ip раздаются от роутера на основе DHCP.
Необходимо заблокировать соц сети и прочие необходимые сайты.
Тут находил некоторые решения, но они не корректно работают, что-то работает а что-то нет.
Надо, что-то новенькое. Заранее благодарен.
зы. сам в микротике не силен.

Answer 1

[Ziptar]

В роли https-proxy микротик работать не способен, а у подмены dns есть множество обходных вариантов.
Так что в зависимости от скилла пользователей или закрывать обходные пути для подмены dns, что зачастую сложно, и не всегда вообще реально, или делать https-proxy НЕ на микротике.

ЗЫ при наличии домена, белого списка приложений, и исключения загрузки расширений для браузеров - подмена dns вполне себе рабочий вариант.

Comments

[Генадий]

У пользователей, чей скил выше среднего - вообще инет заблокирован))
Те кто с пк на Вы, подойдут стандартные правила. Лишь бы они работали.

[Ziptar]

Генадий, ну тогда подмена dns или l7/sni, как ниже написали

Answer 2

[Xilian]

у латвийцев есть хороший Wiki :https://wiki.mikrotik.com/wiki/How_to_Block_Websit...

Answer 3

[CityCat4]

Только с помощью микротика это нереализуемо, разве только это будет топовая модель.

Почему.

Микротик - роутер. Следовательно он оптимизирован для задач маршрутизации. Прокси в нем "для галочки", им пользоваться без толку, а https вообще его просто обнуляет. Да, можно https-запросы потрошить на предмет SNI, но во-первых там ничего может не быть, а во-вторых L7-фильтр, который такое будет реализовывать - он ресурсы жрет огогого как!
Можно втупую банить IP - почувствствуй себя Роскомнадзором :)
Можно поставить прокси перед микротиком - и тогда уже спокойно всех валить на прокси. Если статистика не нужна, то не нужен и бампинг, можно без подмены сертификатов будет обойтись

Comments

[Ziptar]

Самое поганое, что и потрошение sni и бан ip и подмена dns обходятся парой расширений хрома.
Хотя погано это только в контексте офисного использования, разумеется xD

[CityCat4]

Константин Антонов, ну тут только бампинг, статистика и анализ ненормальной активности. Если вдруг кто-то начинает активно ходить на незнакомый сайт - это жжжж неспроста.
Или СМП
Или запрет хрома
Или просто забить, если все это слишком долго/дорого/неэффективно

[Ziptar]

CityCat4, хром то запрещать не надо как раз, хром GPO поддерживает

[CityCat4]

Константин Антонов, хром не GPO поддерживает, а системные свойства прокси использует - ну насколько я знаю. Или уже есть отдельный адм. шаблон для управления настройками, как в ишаке? (где можно рулить отнюдь не только настройками прокси)

[Ziptar]

CityCat4, есть, и довольно давно; в частности управление плагинами, что в данном случае и требуется.

[Генадий]

Можно втупую банить IP - почувствствуй себя Роскомнадзором :)

Банить IP тех сайтов, которые нужно заблокировать ?

[CityCat4]

Генадий, ну да. Именно так, как РКН делает :)

[Генадий]

CityCat4, а как это делать в микротике ? :)

[Ziptar]

Генадий, в последних версиях address lists умеют сами резольвить из доменного имени, даже скриптов не нужно

[Генадий]

Константин Антонов, а как можно сделать правило сразу на несколько сайтов ? Или под каждый сайт свое правило ? а потом на каждый пк это правило прописывать... это же ппц работы ))

[Ziptar]

Генадий, сейчас посмотрел - address lists резольвит только в 1 адрес; если у домена несколько адресов - ...
Таки придётся скрипт ваять.

[Генадий]

Константин Антонов, так ?
/ip firewall address-list
add address=mail.ru list=web_block
add address=drom.ru list=web_block

/ip firewall filter
add action=drop chain=forward dst-address-list=web_block src-address=192.168.0.14
add action=drop chain=forward dst-address-list=web_block src-address=192.168.0.20

[Ziptar]

Генадий, https://forum.mikrotik.com/viewtopic.php?t=58069#p...
Всё уже придумано до нас)

[CityCat4]

Константин Антонов, что мешает самому вручную отрезолвить все, а потом занести в список?

[Ziptar]

CityCat4, лучше это делать динамически; айпишники и измениться могут.

[Генадий]

Константин Антонов, не понял, что там по ссылке... ? и куда это надо...

[Ziptar]

Генадий,
Скрипт, получающий все ip адреса, привязанные к доменным именам, указанным в фигурных скобках, и записывающий их в адрес лист. Пихается в шедулер, и запускается по таймеру с неким интервалом.

[Генадий]

Константин Антонов, а что-то попроще есть ? :)

[Ziptar]

Генадий, а что там сложного?

[Генадий]

Константин Антонов, может и ничего, но мне чет вообще ни че не понятно... я так понял, это делается за приделами микротика...

[CityCat4]

Генадий, попроще может и есть, но оно может оказаться за деньги :) И за очень немалые :)

[Ziptar]

Генадий,
system -> scheduler

[Генадий]

Константин Антонов, там уже что-то прописано, видать до меня кто-то уже что-то делал...

Answer 4

[Tank_66]

Всем привет.
Адрес лист в роутерос может резолвить dns имена.
тестирванно на 6.45.1
Все просто.
ip firewall address-list add address=www.ya.ru list=block_website
ip firewall filter add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-address-list=block_website

ps action=drop лучше не использовать.
Если использовать drop то для браузера блок с доменным именем www.ya.ru будет отваливаться по таймауту. Если использовать reject тогда роутер ответит что связи этим хостом нет и браузер не будет загружать этот блок.

ps2 у клиента в dns должен быть прописан адрес роутера где происходит блокировка.