fb logo  VK  Feed icon.svg  

Блокировка сайтов youtube и facebook на MikroTik

опубликовал от 09 Ноябрь, 2018

На написание данной статьи меня сподвиг тот факт, что клиенту понадобилось блокировать трафик на развлекательные сайты. Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

 

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Начнем с часто предлагаемого варианта в интернете:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$" add name=facebook regexp="^.+(facebook).*\$"

/ip firewall filter add action=drop chain=forward layer7-protocol=facebook

add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются. 

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Мы немного доработаем этот метод блокировки. Читайте далее.

Правильное решение


Создаем правило с регулярным выражением для Layer7:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$"

wsocqi2uofaxdzpyzopaljhlsxo

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила:

add name=facebook regexp="^.+(facebook).*\$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов поля Regexp: 

^.*(youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|metacafe.com|viewster.com).*$

Далее создаем правила для маркировки соединений и пакетов:

/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes

dr6taoteeod glxk856fzz3kxgq

*Можно создать это правило на весь трафик, а не только на DNS. Нагрузка при этом но роутер возрастёт, но вы гарантированно закроете пользователям доступ к нужным сайтам.

add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

mmic is7mesjcb6m d32rknjmjo

и правила для фильтра файрвола:

/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

kcev 1fvonj161k8ril5xz8hmf8

crgynsgkswduttbf2vrp9pk62ac

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу клиента, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

qgcrxx6tzlwxknramhoh6kfbxf4

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Автор: Сергей Стрельцов

Дорабатывал статью Кардаш Александр Владимирович

Очень похоже что статья устарела. Смотрите её обновлённый вариант

 

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Прочитано 31613 раз Последнее изменение Среда, 23 Сентябрь 2020 20:04
Кардаш Александр

Автор статей по настройке ОС и сетевого оборудования. Отвечу на форуме на ваши вопросы. Добрый айтишник! 

Сайт: https://netflow.by/forum/newtopic

Другие материалы с нашего сайта:

Комментарии   

Роман
# 0 Роман 15.10.2022 15:49
Здравствуйте. Все сделал как в статье, но блокировки не происходит... Дети смотрят ютуб на PS4, в чем проблема? Или статья не актуальная? Роутер hap ac lite rb952ui-5ac2nd-tc
Ответить
Кардаш Александр
# 0 Кардаш Александр 15.10.2022 16:48
Статья уже устарела
Ответить
Berik
# 0 Berik 16.05.2023 20:58
Здравствуйте есть статья заблокировать все страницы, кроме определенных....???
Благодарю!!!
Ответить
Кардаш Александр
# 0 Кардаш Александр 16.05.2023 22:51
Это довольно просто: В firewall/filter rule закрываете всё - drop... Правилом выше разрешаете доступ к ip определённых сайтов - acces... Всё это делаете в цепочке forward!
Ответить
MMM
# 0 MMM 03.03.2020 13:36
Привет всем. Мне нужно дать доступ к программе Google Earth чтобы она работала (как узнать ip или как эта программа выходит в глобальный сеть)

Ответ: Она должна выходить без настройки
Ответить
Максим Кушнаренко
# 0 Максим Кушнаренко 06.07.2019 18:31
Здравствуйте!
Несколько неполным был мой комментарий по поводу блокировки сайтов.
Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:

/ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connectionstate=established,related
то весь поток, начиная с 10 000 байт будет проходить через него.
И мы используем иной вид правила для “fasttrack-connection”
/ip firewall filter
add chain=forward action=fasttrack-connection connection-bytes=10000-0
add chain=forward action=accept connection-bytes=10000-0
Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.
Ответить
Максим Кушнаренко
# 0 Максим Кушнаренко 24.06.2019 20:07
Здравствуйте!
Начиная с версии 6.41 упрощены правила блокировки сайтов в файерволе.
К примеру, блокировка Ютюба и Фэйсбука.

Когда-то писалось вот так для “High Layer7 load”
/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"
add name=facebook regexp="^.+(facebook).*\$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube
И это - неправильно
Устарело и старое применение правила блокировки:
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
(то же самое делается и для Facebook)

Правильное применение правила блокировки:
/ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
Ответить
Nur
# +1 Nur 30.04.2019 11:59
еще вопрос : как ограничить доступ гостевого (всю подсеть) wifi только whatsapp-ом , на основном wifi (вс подсеть) полный доступ.
Ответить
Нур
# -1 Нур 30.04.2019 11:53
работает на локалке, а по wifi на телефоне не работает
Ответить

Добавить комментарий

Комментарий будет удалён, если не будет содержать осмысленный текст. В тексте сообщения не должно быть бесполезных ссылок на другие сайты.

 rss  vk groupe

 

Анекдот дня
Любителям приводить в пример Билла Гейтса как успешного человека, бросившего учебу, стоит помнить, что он бросил Гарвард, а не задрищенское ПТУ. — Исаак, ты слышал, что Тарантино снял «Убить Билла», когда пытался установить у себя Windows XP?— Да, Абраша, а «Убить Билла 2» — когда, наконец, смог
Женщины, как web-сервер
Женщины, как web-сервер 400 Ваd Rеquеst — свидание без букета.401 Unаuthоrizеd — замужем.402 Рауmеnt Rеquirеd — ужин при свечах.403 Fоrbiddеn — я знать тебя больше не хочу!404 Nоt Fоund — сегодня я гуляю с подругами.405 Меthоd Nоt Аllоwеd — нет, только не сзади….407 Рrоху Аuth. Rеquirеd — мне
«
»
  • 1
  • 2
  • 3
  • 4
  • 5

Нравится ли вам наш блог?

Услуги по удалённой настройке MikroTik от профессионала
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги переустановки Windows с выездом в офис
Переустановка Windows на дому и офисе с выездом по Минску весьма востребованная услуга. Иногда ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных
Услуги ремонта компьютеров с выездом в офис
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же сбоя в программном обеспечении. Зачастую, это происходит в самый неподходящий момент: когда нужно
Услуги настройки Wi-Fi сети на дому и в офисе
Настроим любые Wi-Fi роутеры с выездом к вам на дом или в офис по Минску. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и
Услуги по настройке модемов на дому и в офисе
Настроим роутеры белорусских интернет провайдеров с выездом на дом и в офис по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако
Услуги установки и настройки свободных программ
Для начинающих пользователей Windows и Mac мы предлагаем услуги установки и настройки свободного программного обеспечения с выездом по Минску в офис. Предлагаем вам установить: пакет офисных
Услуги настройки роутеров в офисе и на дому
Использование маршрутизатора (англ. router) возможно только после его правильной настройки, а это не так уж и просто. Как правило нет опредёлённой методологии для осуществления настройки, ведь
Услуги настройки и обслуживания локальных сетей
Настройка локальной сети в Минске является ответственным этапом запуска сетей и требует тщательной проработки квалифицированными специалистами. Локальные сети (проводные и беспроводные) дают
Услуги монтажа локальной вычислительной сети
Прокладка локальных сетей это комплексная работа, которая выполняется нашими специалистами качественно, продуманно и в сроки, четко оговоренные с заказчиком. На сегодняшний день, прокладка
Услуги подключения и настройки периферийных устройств
Если Вы приобрели оборудование для персонального компьютера, но не знаете как его установить и настроить, не хотите копаться в тонкостях подобных работ или же не имеете на это время, опытные
Услуги чистки ноутбуков от пыли в офисе
Одна из самых распространенных неисправностей ноутбука является перегрев из-за забившейся пылью системы охлаждения. В следствии чего ноутбук тормозит, а порой даже выключается.  Если Ваш

Авторизация