fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 6487878, +375 (29) 7733778, +375 (25) 9997887

Блокировка сайтов youtube и facebook на MikroTik

опубликовал от 09 Ноябрь, 2018

На написание данной статьи меня сподвиг тот факт, что клиенту понадобилось блокировать трафик на развлекательные сайты. Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

 Начнем с часто предлагаемого варианта в интернете:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$" add name=facebook regexp="^.+(facebook).*\$"

/ip firewall filter add action=drop chain=forward layer7-protocol=facebook

add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются. 

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Мы немного доработаем этот метод блокировки. Читайте далее.

Правильное решение


Создаем правило с регулярным выражением для Layer7:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$"

wsocqi2uofaxdzpyzopaljhlsxo

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила:

add name=facebook regexp="^.+(facebook).*\$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов поля Regexp: 

^.*(youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|metacafe.com|viewster.com).*$

Далее создаем правила для маркировки соединений и пакетов:

/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes

dr6taoteeod glxk856fzz3kxgq

*Можно создать это правило на весь трафик, а не только на DNS. Нагрузка при этом но роутер возрастёт, но вы гарантированно закроете пользователям доступ к нужным сайтам.

add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

mmic is7mesjcb6m d32rknjmjo

и правила для фильтра файрвола:

/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

kcev 1fvonj161k8ril5xz8hmf8

crgynsgkswduttbf2vrp9pk62ac

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу клиента, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

qgcrxx6tzlwxknramhoh6kfbxf4

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Автор: Сергей Стрельцов

Дорабатывал статью Кардаш Александр Владимирович

Обучение: Как настроить MikroTik с нуля?

Научитесь работать с оборудованием MikroTik и RouterOS по видеокурсу «Настройка оборудования MikroTik». Проходите уроки в комфортном темпе и когда удобно – все материалы остаются у вас бессрочно. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Пройдя курс, вы сможете настроить маршрутизатор MikroTik с нуля, даже если у вас не будет в наличии реального оборудования. Начало курса можно посмотреть бесплатно, оставив заявку здесь.

Прочитано 7384 раз Последнее изменение Среда, 13 Март 2019 04:13
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by

Другие материалы с нашего сайта:

4 Комментарии

  • Максим Кушнаренко

    Здравствуйте!
    Несколько неполным был мой комментарий по поводу блокировки сайтов.
    Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:

    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
    Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
    Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-state=established,related
    add chain=forward action=accept connectionstate=established,related
    то весь поток, начиная с 10 000 байт будет проходить через него.
    И мы используем иной вид правила для “fasttrack-connection”
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-bytes=10000-0
    add chain=forward action=accept connection-bytes=10000-0
    Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
    Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

    Максим Кушнаренко   Суббота, 06 Июль 2019 18:31
  • Максим Кушнаренко

    Здравствуйте!
    Начиная с версии 6.41 упрощены правила блокировки сайтов в файерволе.
    К примеру, блокировка Ютюба и Фэйсбука.

    Когда-то писалось вот так для “High Layer7 load”
    /ip firewall layer7-protocol
    add name=youtube regexp="^.+(youtube).*\$"
    add name=facebook regexp="^.+(facebook).*\$"
    /ip firewall filter
    add action=drop chain=forward layer7-protocol=facebook
    add action=drop chain=forward layer7-protocol=youtube
    И это - неправильно
    Устарело и старое применение правила блокировки:
    /ip firewall mangle
    add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
    add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
    /ip firewall filter
    add action=drop chain=forward packet-mark=youtube_packet
    add action=drop chain=input packet-mark=youtube_packet
    (то же самое делается и для Facebook)

    Правильное применение правила блокировки:
    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject

    Максим Кушнаренко   Понедельник, 24 Июнь 2019 20:07
  • Nur

    еще вопрос : как ограничить доступ гостевого (всю подсеть) wifi только whatsapp-ом , на основном wifi (вс подсеть) полный доступ.

    Nur   Вторник, 30 Апрель 2019 11:59
  • Нур

    работает на локалке, а по wifi на телефоне не работает

    Нур   Вторник, 30 Апрель 2019 11:53

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Комментарии к статьям:

  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
  • bcloud Написал bcloud Июнь 17, 2019 Добрый день! Подскажите, пожалуйста, как решить проблему. У нас на фирме подключили такой модем, все…
  • Нур Написал Нур Апрель 30, 2019 работает на локалке, а по wifi на телефоне не работает
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по настройке маршрутизаторов MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промсвязь
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3
 rss  vk groupe

 

Нравится ли вам наш блог?


Обнаруженная в протоколе Bluetooth дыра позволяет прослушать миллионы устройств
В протоколе Bluetooth обнаружена новая уязвимость. Исследователи Даниель Антониоли (Daniele Antonioli), Нильс Оле Типпенхауэр (Nils Ole Tippenhauer) и Каспер Расмуссен (Kasper Rasmussen) обнаружили,
Власти США могут на 90 дней отложить санкции против Huawei
США уже не скрывают, что запрет на работу с китайской компанией Huawei ― это всего лишь инструмент экономического давления на власти Поднебесной. Всё начиналось с заявок об угрозе национальной
Разработчики говорят, что ограничения Apple на отслеживание местоположения являются антиконкурентными
Группа разработчиков приложений для iOS занялась новыми политиками конфиденциальности Apple, которые дебютируют вместе с iOS 13 этой осенью. Они заявляют, что ограничения отслеживания местоположения,
ФАС оштрафует Google за «ненадлежащую» контекстную рекламу финансовых услуг
Федеральная антимонопольная служба России (ФАС России) признала контекстную рекламу финансовых услуг в сервисе Google AdWords нарушающей требования Закона о рекламе.  Нарушение было
iPhone 11 скорее всего выйдет 10 сентября
10 сентября Apple скорее всего представит минимум три новых смартфона. Об этом говорит картинка найденая в IOS 13 Beta. Скорее всего, их назовут iPhone 11, iPhone 11 Pro и iPhone 11 Pro Max.
Нехватка процессоров Intel сохранится до 2020 года
По данным тайваньского ODM-производителя Compal Electronics, нехватка процессоров Intel продолжится во втором полугодии этого года и сохранится до начала 2020 года. В конце прошлого года Intel
Apple будет враждебно относиться к сайтам, нарушающим правила конфиденциальности Safari
Компания Apple заняла жёсткую позицию в отношении веб-сайтов, которые отслеживают и передают третьим лицам историю посещений пользователей. В обновлённой политике конфиденциальности Apple говорится о
Искусственный интеллект стартапа оказался группой индийских программистов
Некоторое время назад индийский стартап Engineer.ai заявил о создании платформы на базе ИИ, способной самостоятельно создавать приложения. Но на деле он оказался командой
«
»
  • 1
  • 2

Авторизация