fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 6487878, +375 (29) 7733778, +375 (25) 9997887

Блокировка сайта vk.com на MikroTik не нагружающая процессор

опубликовал от 01 Июль, 2019

Здравствуйте пользовали и админы MikroTik. Один мой читатель - Максим Кушнаренко, подсказал способ блокировать сайты на MikroTik не нагружающий процессор. Им сегодня я и поделюсь

Способ хорош как для малых сетей так  и для предприятий. Используем принцип:

/ip firewall address-list
add list=Site-VK address=vk.com
add list=Site-VK address=www.vk.com
add list=Site-VK address=userapi.com
add list=Site-VK address=pp.userapi.com

/ip firewall filter
add chain=forward out-interface=ether1 dst-address-list=Site-VK protocol=tcp action=reject reject-with=tcp-reset
add chain=forward out-interface=ether1 dst-address-list=Site-VK action=drop

Первым режектом Вы сразу же обрубите коннект, мгновенно сбросив таймаут до нуля и тут же дропаете следующий запрос.

Правила нужно прописывать через терминал, так как ручное добавление доменов в Address List не даёт правильных результатов.

P.S. Есть один недостаток: Блокировку можно обойти подключившись к сайту через внешний прокси сервер.

Прочитано 784 раз Последнее изменение Среда, 07 Август 2019 15:25
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by/about/55-kardash-aliaksandr-vladimirovich

Другие материалы с нашего сайта:

1 Комментарий

  • Максим Кушнаренко

    Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:
    /ip firewall filter
    add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
    add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
    Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
    Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-state=established,related
    add chain=forward action=accept connectionstate=established,related
    то весь поток, начиная с 10 000 байт будет проходить через него.
    И мы используем иной вид правила для “fasttrack-connection”
    /ip firewall filter
    add chain=forward action=fasttrack-connection connection-bytes=10000-0
    add chain=forward action=accept connection-bytes=10000-0
    Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
    Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

    Максим Кушнаренко   Суббота, 06 Июль 2019 18:27

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Комментарии к статьям:

  • Амина Написал Амина Август 25, 2019 Вот на этом ролторе написано зади логин и пароль Просто я скачала приложение и ьам…
  • Кардаш Александр Владимирович Написал Август 23, 2019 Новая моя статья с замашкой на звание хита по настройке MikroTik!
  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
 rss  vk groupe

 

Нравится ли вам наш блог?

Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по удалённой настройке MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промзвязь в Минске
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3


Началась сертификация устройств Wi-Fi 6 (802.11ax)
Вчера Wi-Fi Alliance официально запустил программу сертификации Wi-Fi 6, дав зелёный свет широкомасштабному принятию нового стандарта Wi-Fi (802.11ax). Как и в предыдущих программах сертификации,
Теперь официально: Microsoft точно работает над Windows Core OS
Упоминания этой ОС найдены в документах для Windows 10. Пару лет назад в Сети появились слухи о том, что Microsoft занимается разработкой новой операционной системы под названием Windows Core
AMD утверждает, что её следующие CPU Epyc будут лучше решений линейки Intel Ice Lake-SP по соотношению производительности на ватт
Эти CPU выйдут в следующем году. Анонсированные недавно серверные процессоры AMD Epyc второго поколения прямых конкурентов в стане Intel по многим параметрам попросту не имеют. Ранее AMD
Патч для Linux 5.4 улучшит ситуацию с 64-битными играми
Компания CodeWeavers, которая разрабатывает ПО CrossOver для запуска Windows-приложений под Linux, представила патч для ядра Linux 5.4. Он должен помочь улучшить работу некоторых 64-битных игр
Предложен новый вариант драйвера exFAT для Linux
В будущем релизе и актуальных бета-версиях ядра Linux 5.4 появилась поддержка драйвера для файловой системы Microsoft exFAT. Однако этот драйвер базируется на старом коде Samsung (номер версии ветки
Платформа Intel Snow Ridge предложит множество ядер с архитектурой Tremont
Ещё одним продуктом Intel, чей выпуск будет налажен по 10-нм технологии в ближайшие месяцы, станет платформа Snow Ridge для базовых станций сетей сотовой связи. Процессорный гигант полон амбиций –
Процессоры Intel Tiger Lake получат увеличенный объём кеша третьего уровня
Мобильные процессоры Tiger Lake-U с архитектурой вычислительных ядер Willow Cove и встроенной графикой Gen12 (Intel Xe) должны появиться через год-другой, но упоминания о них в документации уже
NVIDIA считает, что время чиплетов ещё не пришло
Ресурс Semiconductor Engineering в этом месяце заявил о своём существовании, опубликовав интервью с двумя представителями NVIDIA на Hot Chips 2019. Интересы компании представляли ведущий специалист
«
»
  • 1
  • 2

Авторизация