Задать вопрос
Diversia
@Diversia

Почему в MikroTik не получается заблокировать сайт?

Подскажите пожалуйста, что делаю неверно. Нужно заблокировать youtube.com. Используя firewall, добавляю в address list домен. Затем создаю правило reject - tcp reset. У клиента dns роутера, но добавленный домен не режет.

5f74967c9d09d204815631.jpeg
5f749684531bb746762493.jpeg
5f74968b81fe3548074222.jpeg
5f74968fcead0327889700.jpeg
5f7496943e677000294350.jpeg
  • Вопрос задан
  • 778 просмотров
Подписаться 3 Простой 7 комментариев
Пригласить эксперта
Ответы на вопрос 5
Попробуйте поднять правила, блокирующее по данному адрес-листу, повыше. И action поставить reject вместо tcp reset (не уверен, что tcp reset и fasttrack будут нормально сосуществовать).
Ответ написан
Diman89
@Diman89
по-моему, на микротике вы кроме как по L7 https сайты в принципе не сможете заблокировать - надо использовать прокси
Ответ написан
@nApoBo3
Замените reject на drop. Добавьте udp, youtube умеет работать по udp во всяком случае вниз.
Проверьте по каким адресам идёт клиент, у youtube их может быть очень много, а адрес лист обновляется не онлайн.
Как вариант пропишите у mikrotik в dns статическую запись для youtube, на заглушку или на 127.0.0.1, а другие dns заблокируйте.
Ответ написан
V32052ZF
@V32052ZF
Скорей всего IP ютубчика меняются очень быстро, на что адрес лист микротика не реагирует.
Попробуйте следующее:

добавив DNS-запись .*\\.youtube\\.com и завернув ее на заглушку, мы заблокируем доступ ко всем узлам в домене youtube.com.
Если использовать запись .*youtube\\.com, то заблокируются все узлы, имя которых заканчивается на youtube.com
добавив DNS-запись .*youtube.* и завернув ее на заглушку, можно заблокировать все сайты, в адресе которых содержится youtube.

Что бы защититься от альтернативных днс то можно предпринять следующее :
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect 
add chain=dstnat protocol=tcp dst-port=53 action=redirect
Ответ написан
karabanov
@karabanov
Системный администратор
Проверил. Этот метод работает, но есть нюанс - у браузера свой DNS клиент и он всё равно сумеет отрезолвить адрес который отсутствует в адрес листе.
Можно попробовать запретить обращения к чужим DNS, но в эпоху DoH это тоже бесполезно...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы