Блокировка сайта vk.com на MikroTik не нагружающая процессор

опубликовал Кардаш Александр

от 01 Июль, 2019

Здравствуйте пользовали и админы MikroTik. Один мой читатель - Максим Кушнаренко, подсказал способ блокировать сайты на MikroTik не нагружающий процессор. Им сегодня я и поделюсь.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Способ хорош как для малых сетей так и для предприятий. Используем принцип:

/ip firewall address-list
add list=Site-VK address=vk.com
add list=Site-VK address=www.vk.com
add list=Site-VK address=userapi.com
add list=Site-VK address=pp.userapi.com

/ip firewall filter
add chain=forward out-interface=ether1 dst-address-list=Site-VK protocol=tcp action=reject reject-with=tcp-reset
add chain=forward out-interface=ether1 dst-address-list=Site-VK action=drop

Первым режектом Вы сразу же обрубите коннект, мгновенно сбросив таймаут до нуля и тут же дропаете следующий запрос.

Правила нужно прописывать через терминал, так как ручное добавление доменов в Address List не даёт правильных результатов.

P.S. Есть один недостаток: Блокировку можно обойти подключившись к сайту через внешний прокси сервер.

Прочитано 17863 раз Последнее изменение Понедельник, 13 Январь 2020 12:53

Теги

MikroTik

Кардаш Александр

С удовольствием обсужу эти материалы на нашем форуме!

Сайт: https://netflow.by/forum/newtopic

Другие материалы с нашего сайта:

Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:
/ip firewall filter
add chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=reject
add chain=forward dst-port=443 protocol=tcp tls-host=*.youtube.com action=reject
Но это правило будет работать только для первых 10 пакетов из 2килобайт, которые будут промаркированы, хоть и запрещены.
Но соединение для остальных пакетов запрещаться не будет, и если мы будем применять привычное для нас правило для “fasttrack-connection”,
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connectionstate=established,related
то весь поток, начиная с 10 000 байт будет проходить через него.
И мы используем иной вид правила для “fasttrack-connection”
/ip firewall filter
add chain=forward action=fasttrack-connection connection-bytes=10000-0
add chain=forward action=accept connection-bytes=10000-0
Суть в том, что первые 10k трафика идут через файерволл, а уж потом, если правила запрета для данной цепи не применяются, то после 10 000 байт коннект проходит через фасттрак.
Таким образом, мы и трафик просматриваем и ускоряем фильтрованный коннект.

Ответить

Обновить список комментариев
RSS лента комментариев этой записи

Добавить комментарий

Комментарий будет удалён, если не будет содержать осмысленный текст. В тексте сообщения не должно быть бесполезных ссылок на другие сайты.

JComments

Наверх