Blokování stránek Mikrotik

Nepomohlo by blokovani IP adresy? Predpokladam, ze ji nemeni az tak casto a ze se nejadne o Ip nejakeho vetsiho webhostingu.Druha moznost je blokovani podle contentu (string obsazeny v paketu). Viz ukazka s Facebookem: http://wiki.mikrotik.com/wiki/How_To_Block_FacebookBlokovani pomoci Layer-7 by melo tez fungovat, ale z Vaseho popisu jsem nepochopil, zda jste vse nastavil spravne: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7Kdyz se mrknete na Simple L7 usage example, tak musite udelat 2 veci:1. nadefinovat pravidlo layer-7: /ip firewall layer7-protocol add name=rdp regexp="rdpdr.*cliprdr.*rdpsnd"jmeno: rdp, detekuje regularni vyraz: rdpdr.*cliprdr.*rdpsnd 2. nastavit pravidlo firewallu:/ip firewall filter add chain=forward comment="" disabled=no layer7-protocol=rdp protocol=tcp src-address=192.168.88.0/24 action=drop -- zablokuje rdp pro klienty s adresou 192.168.88.xxx obdobne by to slu udelat i pro interface tady je jeste pekna ukazka, jak si pomoci layer 7 naklikat blokovani facebooku: https://rbgeek.wordpress.com/2012/05/29/how-to-block-f...

https://www.youtube.com/watch

zkoušel jsem různá nastavení nastavení layer7 podle návodů ,ale nikdy nefungovalo .. Nefunguje mi ani podle návodu na facebook ..Pro test jsem nechal přesně jak je v návodu , tedy na fcb a samozřejmě změnil src adress na rozsah mé síte - fcb přesto funguje.Nejde to nějak řešit přes ten proxy ,ale aby nešlo poznat že na mé adrese je spuštěn proxy server ? layer7 nějak nechápu ..

protoze je to blbost... ja na to ted nemam cas, ale nekdo ti poradi... ja hrnu na pivo :)

hehe, minusaci, kde kecam, diky za objasneni :)

Zkusim to trosku podrobneji, snad Vam to pomuze:Situace:Virtual PC 1: 10.0.0.254 - pripojeno do VirtualBox Network, default GW 10.0.0.1 (VirtualBox Mikrotik)Virtual PC 2: 10.0.0.253 - pripojeno do VirtualBox Network, default GW 10.0.0.1 (VirtualBox Mikrotik)Mikrotik: ether1: 192.168.2.156 (WAN) ether2: 10.0.0.1 (LAN = VirtulBox Network)Na Mikrotiku provedena konfigurace:Zapnut DHCP Client na Ether 1.Zapnut DHCP Server na Ether 2.Nastavena maskarada, nastavena adresa 10.0.0.1 a dhcp server na ether2 nastaveno nekolik zakladnich pravidel firewalluaktualni firewall:/ip firewall filteradd action=drop chain=input comment="Drop Invalid connections" \ connection-state=invalidadd chain=input comment="Allow Established connections" connection-state=\ establishedadd chain=input comment="Allow ICMP" protocol=icmpadd chain=input in-interface=!ether1 src-address=10.0.0.0/24add chain=input comment="Allow HOST" src-address=192.168.2.208add action=drop chain=input comment="Drop everything else"/ip firewall natadd action=masquerade chain=srcnat out-interface=ether1----------------facebook.com funguje, jdeme zkouset blokovani: 1. Vytvorime pravidlo pro facebook.com v layer7:/ip firewall layer7-protocol add name=facebook regexp=".*facebook\\.com"2. vytvorime pravidlo pro zahozeni facebooku z 10.0.0.2 - 10.0.0.254/ip firewall filter add action=drop chain=forward comment="No facebook allowed for 1-253" layer7-protocol=facebook src-address=10.0.0.2-10.0.0.253posuneme pravidlo hned na zacatek, aby se drive naplikovaly pravidla pro povoleni provozu:/ip firewall filter print #zjistime cislo pravidla#… v mem pripade cislo 6, a chci posunout na pozici 1:/ip firewall filter move numbers=6 destination=1STAV FIREWALLU:/ip firewall layer7-protocol add name=facebook regexp=".*facebook\\.com"/ip firewall filteradd action=drop chain=input comment="Drop Invalid connections" \ connection-state=invalidadd action=drop chain=forward comment="No facebook allowed for 1-253" \ layer7-protocol=facebook src-address=10.0.0.2-10.0.0.253add chain=input comment="Allow Established connections" connection-state=\ establishedadd chain=input comment="Allow ICMP" protocol=icmpadd chain=input in-interface=!ether1 src-address=10.0.0.0/24add chain=input src-address=192.168.2.208add action=drop chain=input comment="Drop everything else"/ip firewall natadd action=masquerade chain=srcnat out-interface=ether1test PC1 (10.0.0.254 => nespada do pravidla): ping facebook.comPING facebook.com (173.252.120.6) 56(84) bytes of data.64 bytes from edge-star-shv-12-frc3.facebook.com (173.252.120.6): icmp_seq=1 ttl=75 time=117 msve firefoxu facebook.com jedetest PC2(10.0.0.253 => spada do pravidla):ping facebook.comping: unknown host facebook.comve firefoxu: Server not found!!! netusim, jakou stranku se chystate blokovat, ale nezapomente, ze takto nastavene pravidlo utne kazde spojeni, kde se objevi retezec facebook.com (vasprovider.cz), v privnich 10ti paketech nebo 2kB (defaultni nastaveni pro Layer 7 v Mikrotiku) Ukázat celý příspěvek

Pokud ti lidé používají DNS na Mikrotiku tak bych to řešil záznamem daného jméne do DNS - třeba na 1.1.1.1

Nj, jenže poku si někdo přenastaví na DNS 8.8.8.8 (Google), je po ptákách.Řešením samozřejmě je pak ještě zachytávat DNS a obsluhovat ho sám.Ale to je komplikované.Nejlepší je opravdu ve Firewall/NAT nastavit buď DROP na konkrétní adresu, nebo Redirect na jinou (tvůj server s nějakým vlastním hlášením).Jo a pokud neobsluhuješ IPV6, dpopručuji na Mikrotiku dát DROP na veškerý Forward na všech rozhraních - to by totiž mohlo dělat to hlášení Googlu - provoz na IPV6.

Drop konkrétní adresy je nejjednodušší, pokud ovšem zároveň neslouží jako výchozí brána.

"Řešením samozřejmě je pak ještě zachytávat DNS a obsluhovat ho sám.Ale to je komplikované"není - jeden řádek v NAT - pravidlo dnat