Почему в MikroTik не получается заблокировать сайт?

Question

[Diversia]

Подскажите пожалуйста, что делаю неверно. Нужно заблокировать youtube.com. Используя firewall, добавляю в address list домен. Затем создаю правило reject - tcp reset. У клиента dns роутера, но добавленный домен не режет.

Comments

[Mystray]

Ютуб отлично работает по UDP

[Diversia]

Mystray, так тоже ютуб работает

[Mystray]

передвинуть оба правила повыше accept-ов в цепочке forward

[Diversia]

Mystray, не помогает :(

[Valentin Barbolin]

Я бы блокировал по DNS. Завернуть все DNS запросы на микротик и прописать на нем статическую DNS запись для youtube.com на левый IP.

[Diversia]

Andrey Barbolin, но в этом случае не получится блокировать выборочно для пользователя

[Valentin Barbolin]

Diversia, Почему же нет) Можно с помощью DHCP всем раздать публичные DNS (1.1.1.1 8.8.8.8), а тем кому надо блокировать, перехватывать их DNS запросы с помощью preroute и заворачивать на DNS микротика.

Лично я пользую AdGuard + Raspberry и прогоняю через него все DNS запросы. Он конечно рассчитан на домашнее использование, но функционал у него приличный. Самое главное - долой рекламу)

Answer 1

[Дмитрий]

Попробуйте поднять правила, блокирующее по данному адрес-листу, повыше. И action поставить reject вместо tcp reset (не уверен, что tcp reset и fasttrack будут нормально сосуществовать).

Comments

[Diversia]

не помогло

Answer 2

[Diman89]

по-моему, на микротике вы кроме как по L7 https сайты в принципе не сможете заблокировать - надо использовать прокси

Comments

[Александр Карабанов]

Всё он правильно делает, только правило надо выше поднять.

Answer 3

[nApoBo3]

Замените reject на drop. Добавьте udp, youtube умеет работать по udp во всяком случае вниз.
Проверьте по каким адресам идёт клиент, у youtube их может быть очень много, а адрес лист обновляется не онлайн.
Как вариант пропишите у mikrotik в dns статическую запись для youtube, на заглушку или на 127.0.0.1, а другие dns заблокируйте.

Comments

[Ziptar]

>Замените reject на drop.
Зачем?

[nApoBo3]

Зачем reject вообще или в данном конкретном случае?

[Александр Карабанов]

Конечно необходим reject, что бы соединение сразу обрывалось. Иначе пользователь получит тупящий браузер.

Answer 4

[V32052ZF]

Скорей всего IP ютубчика меняются очень быстро, на что адрес лист микротика не реагирует.
Попробуйте следующее:

добавив DNS-запись .*\\.youtube\\.com и завернув ее на заглушку, мы заблокируем доступ ко всем узлам в домене youtube.com.
Если использовать запись .*youtube\\.com, то заблокируются все узлы, имя которых заканчивается на youtube.com
добавив DNS-запись .*youtube.* и завернув ее на заглушку, можно заблокировать все сайты, в адресе которых содержится youtube.

Что бы защититься от альтернативных днс то можно предпринять следующее :

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect 
add chain=dstnat protocol=tcp dst-port=53 action=redirect

Comments

[Diversia]

спасибо! А можно для определенных ip выдавать разные dns-сервера? Чтобы не всем резать youtube.

[V32052ZF]

Да можно это сделать но колхоз будет.)
Вот можно еще по такому пути пойти кстати тут

То что вы хотите я вижу так:
1. Создать два листа тех кому блочить и тех кому не блочить сайты
Parents-List - список IP-адресов устройств кому НЕ блочить ютуб
Kids-List - список IP-адресов устройств кому блочить ютуб

/ip firewall address-list add list=Parents-List address=192.168.88.254
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251

Далее создадим правила, по которым устройства из родительского списка Parents-List будут использовать DNS сервер без блокировки Google 8.8.8.8, а устройства из детского списка будут использовать сервер DNS вашего микротика 192.168.88.1 с блокировкой ютуба.

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=192.168.88.1
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=192.168.88.1

Перетащить эти правила в самый верх.

[nApoBo3]

Diversia, можно в dhcp без всяких танцев.
Но дополнительно нужно заблокировать альтернативные dns на фаерволе.

Answer 5

[Александр Карабанов]

Проверил. Этот метод работает, но есть нюанс - у браузера свой DNS клиент и он всё равно сумеет отрезолвить адрес который отсутствует в адрес листе.
Можно попробовать запретить обращения к чужим DNS, но в эпоху DoH это тоже бесполезно...