fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 3245385, +375 (29) 7505994, +375 (25) 9164238

Блокировка сайтов youtube и facebook на MikroTik

опубликовал от 09 Ноябрь, 2018

На написание данной статьи меня сподвиг тот факт, что клиенту понадобилось блокировать трафик на развлекательные сайты. Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

 Начнем с часто предлагаемого варианта в интернете:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$" add name=facebook regexp="^.+(facebook).*\$"

/ip firewall filter add action=drop chain=forward layer7-protocol=facebook

add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются. 

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Мы немного доработаем этот метод блокировки. Читайте далее.

Правильное решение


Создаем правило с регулярным выражением для Layer7:

/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$"

wsocqi2uofaxdzpyzopaljhlsxo

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила:

add name=facebook regexp="^.+(facebook).*\$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов поля Regexp: 

^.*(youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|metacafe.com|viewster.com).*$

Далее создаем правила для маркировки соединений и пакетов:

/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes

dr6taoteeod glxk856fzz3kxgq

*Можно создать это правило на весь трафик, а не только на DNS. Нагрузка при этом но роутер возрастёт, но вы гарантированно закроете пользователям доступ к нужным сайтам.

add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

mmic is7mesjcb6m d32rknjmjo

и правила для фильтра файрвола:

/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

kcev 1fvonj161k8ril5xz8hmf8

crgynsgkswduttbf2vrp9pk62ac

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу клиента, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

qgcrxx6tzlwxknramhoh6kfbxf4

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Автор: Сергей Стрельцов

Дорабатывал статью Кардаш Александр Владимирович

Обучение: Как настроить MikroTik с нуля?

Научитесь работать с оборудованием MikroTik и RouterOS по видеокурсу «Настройка оборудования MikroTik». Проходите уроки в комфортном темпе и когда удобно – все материалы остаются у вас бессрочно. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Пройдя курс, вы сможете настроить маршрутизатор MikroTik с нуля, даже если у вас не будет в наличии реального оборудования. Начало курса можно посмотреть бесплатно, оставив заявку здесь.

Прочитано 7006 раз Последнее изменение Среда, 13 Март 2019 04:13
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: netflow.by

Другие материалы с нашего сайта:

4 Комментарии

  • Максим Кушнаренко

    Здравствуйте!
    Несколько неполным был мой комментарий по поводу блокировки сайтов.
    Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:

    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
    Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
    Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-state=established,related
    add chain=forward action=accept connectionstate=established,related
    то весь поток, начиная с 10 000 байт будет проходить через него.
    И мы используем иной вид правила для “fasttrack-connection”
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-bytes=10000-0
    add chain=forward action=accept connection-bytes=10000-0
    Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
    Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

    Максим Кушнаренко   Суббота, 06 Июль 2019 18:31
  • Максим Кушнаренко

    Здравствуйте!
    Начиная с версии 6.41 упрощены правила блокировки сайтов в файерволе.
    К примеру, блокировка Ютюба и Фэйсбука.

    Когда-то писалось вот так для “High Layer7 load”
    /ip firewall layer7-protocol
    add name=youtube regexp="^.+(youtube).*\$"
    add name=facebook regexp="^.+(facebook).*\$"
    /ip firewall filter
    add action=drop chain=forward layer7-protocol=facebook
    add action=drop chain=forward layer7-protocol=youtube
    И это - неправильно
    Устарело и старое применение правила блокировки:
    /ip firewall mangle
    add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
    add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
    /ip firewall filter
    add action=drop chain=forward packet-mark=youtube_packet
    add action=drop chain=input packet-mark=youtube_packet
    (то же самое делается и для Facebook)

    Правильное применение правила блокировки:
    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject

    Максим Кушнаренко   Понедельник, 24 Июнь 2019 20:07
  • Nur

    еще вопрос : как ограничить доступ гостевого (всю подсеть) wifi только whatsapp-ом , на основном wifi (вс подсеть) полный доступ.

    Nur   Вторник, 30 Апрель 2019 11:59
  • Нур

    работает на локалке, а по wifi на телефоне не работает

    Нур   Вторник, 30 Апрель 2019 11:53

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Последние комментарии:

  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
  • Нур Написал Нур Апрель 30, 2019 работает на локалке, а по wifi на телефоне не работает
  • Vlad Написал Vlad Июль 05, 2017 Добрый день! Адрес 192.168.8.1 - ето адрес чего у Вас? Там где Сделаем маршрут для…
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по настройке маршрутизаторов MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промсвязь
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3
 rss  vk groupe

 

Нравится ли вам наш блог?


Microsoft инвестирует $1 млрд в искусственный интеллект OpenAI
Представители OpenAI заявили, что партнёрство с Microsoft поможет им заниматься искусственным интеллектом общего назначения (AGI), который считается Святым Граалем в данной области, способным к
Майнеры Южной Кореи украли электричества на 2.3 миллиарда долларов
Несколько дней назад мы публиковали любопытную аналитическую информацию, согласно которой выяснилось, что майнеры наносят России гигантский экономический ущерб. По данным «Россети Северный Кавказ»,
iPhone 2019 года не получат интерфейс USB Type-C
До сентября остаётся всё меньше времени, а это значит, что приближается осеннее мероприятие Apple, в рамках которого должны быть представлены новые iPhone. Согласно последним сообщениям, компания
Ryzen 9 3900X с поддержкой SMT и без сравнили с Intel Core i9-9900K в играх
Ryzen 9 3900X – на данный момент самый мощный настольной процессор семейства Matisse из доступных на рынке. Он имеет 12 ядер и 24 потока за счет поддержки технологии одновременной многопоточности или
Аналитики ухудшили прогноз по курсу акций Intel
На страницах сайта Seeking Alpha стали чаще появляться выдержки из аналитических записок, поскольку корпорация Intel о результатах второго квартала отчитается уже к утру четверга, а AMD ответит
WhatsApp появился на кнопочных устройствах
Популярный на смартфонах мессенджер WhatsApp ранее был доступен только на устройствах с сенсорным экраном, но его разработчики решили добавить функционала в современные "звонилки" и теперь его можно
В России могут запретить электронную почту
Использование электронной почты без идентификации может быть запрещено уже в скором времени. Такой законопроект недавно был представлен в Госдуму. В отосланном письме группа сенаторов вместе с
Вместо инвестиций в $600 млн Huawei уволила 600 сотрудников своей американской дочерней компании Futurewei
Несколько дней назад появились сведения о том, что сотни сотрудников Huawei в США могут лишиться своих рабочих мест. Подразделение исследований и разработок Huawei в США называется Futurewei, штат
«
»
  • 1
  • 2

Авторизация