fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 6487878, +375 (29) 7733778, +375 (25) 9997887

Блокировка сайта vk.com на MikroTik не нагружающая процессор

опубликовал от 01 Июль, 2019

Здравствуйте пользовали и админы MikroTik. Один мой читатель - Максим Кушнаренко, подсказал способ блокировать сайты на MikroTik не нагружающий процессор. Им сегодня я и поделюсь

Способ хорош как для малых сетей так  и для предприятий. Используем принцип:

/ip firewall address-list
add list=Site-VK address=vk.com
add list=Site-VK address=www.vk.com
add list=Site-VK address=userapi.com
add list=Site-VK address=pp.userapi.com

/ip firewall filter
add chain=forward out-interface=ether1 dst-address-list=Site-VK protocol=tcp action=reject reject-with=tcp-reset
add chain=forward out-interface=ether1 dst-address-list=Site-VK action=drop

Первым режектом Вы сразу же обрубите коннект, мгновенно сбросив таймаут до нуля и тут же дропаете следующий запрос.

Правила нужно прописывать через терминал, так как ручное добавление доменов в Address List не даёт правильных результатов.

P.S. Есть один недостаток: Блокировку можно обойти подключившись к сайту через внешний прокси сервер.

Прочитано 544 раз Последнее изменение Среда, 07 Август 2019 15:25
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by

Другие материалы с нашего сайта:

1 Комментарий

  • Максим Кушнаренко

    Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:
    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
    Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
    Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-state=established,related
    add chain=forward action=accept connectionstate=established,related
    то весь поток, начиная с 10 000 байт будет проходить через него.
    И мы используем иной вид правила для “fasttrack-connection”
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-bytes=10000-0
    add chain=forward action=accept connection-bytes=10000-0
    Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
    Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

    Максим Кушнаренко   Суббота, 06 Июль 2019 18:27

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Комментарии к статьям:

  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
  • bcloud Написал bcloud Июнь 17, 2019 Добрый день! Подскажите, пожалуйста, как решить проблему. У нас на фирме подключили такой модем, все…
  • Нур Написал Нур Апрель 30, 2019 работает на локалке, а по wifi на телефоне не работает
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по настройке маршрутизаторов MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промсвязь
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3
 rss  vk groupe

 

Нравится ли вам наш блог?


Обнаруженная в протоколе Bluetooth дыра позволяет прослушать миллионы устройств
В протоколе Bluetooth обнаружена новая уязвимость. Исследователи Даниель Антониоли (Daniele Antonioli), Нильс Оле Типпенхауэр (Nils Ole Tippenhauer) и Каспер Расмуссен (Kasper Rasmussen) обнаружили,
Власти США могут на 90 дней отложить санкции против Huawei
США уже не скрывают, что запрет на работу с китайской компанией Huawei ― это всего лишь инструмент экономического давления на власти Поднебесной. Всё начиналось с заявок об угрозе национальной
Разработчики говорят, что ограничения Apple на отслеживание местоположения являются антиконкурентными
Группа разработчиков приложений для iOS занялась новыми политиками конфиденциальности Apple, которые дебютируют вместе с iOS 13 этой осенью. Они заявляют, что ограничения отслеживания местоположения,
ФАС оштрафует Google за «ненадлежащую» контекстную рекламу финансовых услуг
Федеральная антимонопольная служба России (ФАС России) признала контекстную рекламу финансовых услуг в сервисе Google AdWords нарушающей требования Закона о рекламе.  Нарушение было
iPhone 11 скорее всего выйдет 10 сентября
10 сентября Apple скорее всего представит минимум три новых смартфона. Об этом говорит картинка найденая в IOS 13 Beta. Скорее всего, их назовут iPhone 11, iPhone 11 Pro и iPhone 11 Pro Max.
Нехватка процессоров Intel сохранится до 2020 года
По данным тайваньского ODM-производителя Compal Electronics, нехватка процессоров Intel продолжится во втором полугодии этого года и сохранится до начала 2020 года. В конце прошлого года Intel
Apple будет враждебно относиться к сайтам, нарушающим правила конфиденциальности Safari
Компания Apple заняла жёсткую позицию в отношении веб-сайтов, которые отслеживают и передают третьим лицам историю посещений пользователей. В обновлённой политике конфиденциальности Apple говорится о
Искусственный интеллект стартапа оказался группой индийских программистов
Некоторое время назад индийский стартап Engineer.ai заявил о создании платформы на базе ИИ, способной самостоятельно создавать приложения. Но на деле он оказался командой
«
»
  • 1
  • 2

Авторизация