fb logo  VK  Feed icon.svg  

Блокировка сайта vk.com на MikroTik не нагружающая процессор

опубликовал
в Настройка интернета
от 01 Июль, 2019
Блокировка сайта vk.com на MikroTik не нагружающая процессор

Здравствуйте пользовали и админы MikroTik. Один мой читатель - Максим Кушнаренко, подсказал способ блокировать сайты на MikroTik не нагружающий процессор. Им сегодня я и поделюсь.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Способ хорош как для малых сетей так  и для предприятий. Используем принцип:

/ip firewall address-list
add list=Site-VK address=vk.com
add list=Site-VK address=www.vk.com
add list=Site-VK address=userapi.com
add list=Site-VK address=pp.userapi.com

/ip firewall filter
add chain=forward out-interface=ether1 dst-address-list=Site-VK protocol=tcp action=reject reject-with=tcp-reset
add chain=forward out-interface=ether1 dst-address-list=Site-VK action=drop

Первым режектом Вы сразу же обрубите коннект, мгновенно сбросив таймаут до нуля и тут же дропаете следующий запрос.

Правила нужно прописывать через терминал, так как ручное добавление доменов в Address List не даёт правильных результатов.

P.S. Есть один недостаток: Блокировку можно обойти подключившись к сайту через внешний прокси сервер.

Прочитано 14087 раз Последнее изменение Понедельник, 13 Январь 2020 12:53
Теги
Кардаш Александр

Автор статей по настройке ОС и сетевого оборудования. Отвечу на форуме на ваши вопросы. Добрый айтишник! 

Сайт: https://netflow.by/forum/newtopic

Другие материалы с нашего сайта:

Комментарии   

Максим Кушнаренко
# +1 Максим Кушнаренко 06.07.2019 18:27
Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:
/ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connectionstate=established,related
то весь поток, начиная с 10 000 байт будет проходить через него.
И мы используем иной вид правила для “fasttrack-connection”
/ip firewall filter
add chain=forward action=fasttrack-connection connection-bytes=10000-0
add chain=forward action=accept connection-bytes=10000-0
Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.
Ответить

Добавить комментарий

Комментарий будет удалён, если не будет содержать осмысленный текст. В тексте сообщения не должно быть бесполезных ссылок на другие сайты.

Наверх

Новые материалы:

 rss  vk groupe

 

IT Юмор
IT Юмор
DVI кабель всегда застревает
DVI кабель всегда застревает
Подробнее
ОС
ОС
Подробнее
Сисадмин всегда прав
Сисадмин всегда прав
Друзья дарят сисадмину на день рождения чемодан. Сисадмин говорит:- Спасибо, конечно, но нафига он мне?- Ну ты же в командировки по работе ездишь, чтобы системки настраивать?- Ну, езжу.- Так будешь вот сюда трусы класть, вот в этот кармашек - носки, сюда - рубашку, а вот сюда...- Подождите, ребята!
Подробнее
Испугался!
Испугался!
— Вы уверены что хотите удалить папку D:TEMP ?— Да.— В этой папке находятся файлы. Вы уверены что хотите их удалить?— Да!— Удаление этих файлов может повлиять на зарегистрированные программы. Вы все еще уверены?— Да! Да! Да!!!— Эти файлы могут использоваться системой. Вы уверены?— Пошла ты! —
Подробнее
IT отдел
IT отдел
А ведь хорошо парни работают, до сих пор не восстали.
Подробнее
«
»
  • 1
  • 2
  • 3
  • 4
  • 5

Нравится ли вам наш блог?

Последнее на форуме:

Услуги
Услуги по удалённой настройке MikroTik
Услуги по удалённой настройке MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Подробнее
Услуги переустановки Windows с выездом в офис
Услуги переустановки Windows с выездом в офис
Переустановка Windows на дому и офисе с выездом по Минску весьма востребованная услуга. Иногда ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных
Подробнее
Услуги ремонта компьютеров с выездом в офис
Услуги ремонта компьютеров с выездом в офис
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Подробнее
Услуги настройки Wi-Fi сети на дому и в офисе
Услуги настройки Wi-Fi сети на дому и в офисе
Настроим любые Wi-Fi роутеры с выездом к вам на дом или в офис по Минску. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и
Подробнее
Услуги по настройке модемов на дому и в офисе
Услуги по настройке модемов на дому и в офисе
Настроим роутеры белорусских интернет провайдеров с выездом на дом и в офис по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако
Подробнее
Услуги установки и настройки свободных программ
Услуги установки и настройки свободных программ
Для начинающих пользователей Windows и Mac мы предлагаем услуги установки и настройки свободного программного обеспечения с выездом по Минску в офис. Предлагаем вам установить: пакет офисных
Подробнее
Услуги настройки роутеров в офисе и на дому
Услуги настройки роутеров в офисе и на дому
Использование маршрутизатора (англ. router) возможно только после его правильной настройки, а это не так уж и просто. Как правило нет опредёлённой методологии для осуществления настройки, ведь
Подробнее
Услуги настройки и обслуживания локальных сетей
Услуги настройки и обслуживания локальных сетей
Настройка локальной сети в Минске является ответственным этапом запуска сетей и требует тщательной проработки квалифицированными специалистами. Локальные сети (проводные и беспроводные) дают
Подробнее
Услуги монтажа локальной вычислительной сети
Услуги монтажа локальной вычислительной сети
Прокладка локальных сетей это комплексная работа, которая выполняется нашими специалистами качественно, продуманно и в сроки, четко оговоренные с заказчиком. На сегодняшний день, прокладка
Подробнее
Услуги чистки ноутбуков от пыли в офисе
Услуги чистки ноутбуков от пыли в офисе
Одна из самых распространенных неисправностей ноутбука является перегрев из-за забившейся пылью системы охлаждения. В следствии чего ноутбук тормозит, а порой даже выключается.  Если Ваш
Подробнее
Услуги приходящего системного администратора
Услуги приходящего системного администратора
Как показывает практика, содержание в штате сотрудников, выполняющих администрирование компьютеров очень затратно. Позволить себе это могут в основном крупные компании. Если Вы не относитесь к
Подробнее

Авторизация