fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 6487878, +375 (29) 7733778, +375 (25) 9997887

Блокировка сайта vk.com на MikroTik не нагружающая процессор

опубликовал от 01 Июль, 2019

Здравствуйте пользовали и админы MikroTik. Один мой читатель - Максим Кушнаренко, подсказал способ блокировать сайты на MikroTik не нагружающий процессор. Им сегодня я и поделюсь

Способ хорош как для малых сетей так  и для предприятий. Используем принцип:

/ip firewall address-list
add list=Site-VK address=vk.com
add list=Site-VK address=www.vk.com
add list=Site-VK address=userapi.com
add list=Site-VK address=pp.userapi.com

/ip firewall filter
add chain=forward out-interface=ether1 dst-address-list=Site-VK protocol=tcp action=reject reject-with=tcp-reset
add chain=forward out-interface=ether1 dst-address-list=Site-VK action=drop

Первым режектом Вы сразу же обрубите коннект, мгновенно сбросив таймаут до нуля и тут же дропаете следующий запрос.

Правила нужно прописывать через терминал, так как ручное добавление доменов в Address List не даёт правильных результатов.

P.S. Есть один недостаток: Блокировку можно обойти подключившись к сайту через внешний прокси сервер.

Прочитано 825 раз Последнее изменение Среда, 07 Август 2019 15:25
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by/about/55-kardash-aliaksandr-vladimirovich

Другие материалы с нашего сайта:

1 Комментарий

  • Максим Кушнаренко

    Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:
    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
    Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
    Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-state=established,related
    add chain=forward action=accept connectionstate=established,related
    то весь поток, начиная с 10 000 байт будет проходить через него.
    И мы используем иной вид правила для “fasttrack-connection”
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-bytes=10000-0
    add chain=forward action=accept connection-bytes=10000-0
    Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
    Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

    Максим Кушнаренко   Суббота, 06 Июль 2019 18:27

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Последние комментарии:

  • Кардаш Александр Владимирович Написал Август 23, 2019 Новая моя статья с замашкой на звание хита по настройке MikroTik!
  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
  • Нур Написал Нур Апрель 30, 2019 работает на локалке, а по wifi на телефоне не работает
 rss  vk groupe

 

Нравится ли вам наш блог?

Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по удалённой настройке MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промзвязь в Минске
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3


Раскрыто оснащение смартфона OPPO K5 с поддержкой быстрой подзарядки VOOC 4.0
Не так давно китайская компания OPPO сообщила, что пока не представленный официально смартфон K5 станет одним из первых аппаратов с поддержкой новой технологии быстрой подзарядки VOOC 4.0. И вот
Беспроводные наушники научили разблокировать смартфон
Найден способ быстрой разблокировки смартфона с помощью наушника. Коллективом учёных из научно-исследовательского университета Буффало разработана новая технология биометрии, получившая название
Комплекс МТС Live Arena в Москве вберёт в себя 5G, VR и «умные» системы
МТС и АО «Корпорация А.Н.Д» (Группа «САФМАР» Михаила Гуцериева) объявили о подписании соглашения о сотрудничестве, предусматривающего создание в Москве передовой концертно-развлекательной площадки.
Искусственный интеллект высчитает вероятность смерти за 15 минут
Американские ученые создали программу на основе искусственного интеллекта, способную всего за 15 минут рассчитать вероятность смерти от сердечно-сосудистых заболеваний. Новая система оценивает
Складной Samsung Galaxy Fold распродали в Европе за день
Вызвавший множество вопросов из-за фальстарта дебютный складной смартфон Galaxy Fold компании Samsung Electronics оказался весьма популярным в Европе и Сингапуре. 18 сентября смартфон вышел в
Бывшие специалисты GlobalFoundries помогут Intel освоить 7-нм техпроцесс
Некоторое время GlobalFoundries поняла, что освоение 7-нм техпроцесса потребует от неё таких усилий и затрат, которые не так просто можно будет оправдать, а потому отказалась от соответствующей идеи.
GALAX теперь предлагает видеокарты в индивидуальной раскраске
На одной популярной китайской торговой площадке появилась видеокарта GeForce RTX 2600 SUPER марки GALAX, которая оснащается системой охлаждения собственного дизайна с двумя вентиляторами и прозрачным
Легальный контент предпочитает только каждый десятый пользователь
Исследование, проведённое компанией ESET, говорит о том, что подавляющее большинство пользователей Всемирной сети продолжают отдавать предпочтение пиратским материалам. Как показал опрос, 75 %
«
»
  • 1
  • 2

Авторизация