Звоните нам: +375 (29) 3245385, +375 (29) 7505994, +375 (25) 9164238

Блокировка сайтов youtube и facebook на MikroTik

опубликовал от 06 Январь, 2018

На написание данной статьи меня сподвиг тот факт, что клиенту понадобилось блокировать трафик на развлекательные сайты. Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

 Начнем с часто предлагаемого варианта в интернете (так не надо делать!!!):

● /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$" add name=facebook regexp="^.+(facebook).*\$"

● /ip firewall filter add action=drop chain=forward layer7-protocol=facebook add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются. 

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Правильное решение


Создаем правило с регулярным выражением для Layer7:

● /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$"

wsocqi2uofaxdzpyzopaljhlsxo

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила:

add name=facebook regexp="^.+(facebook).*\$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов: 

regexp=”^.*youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|dailyMotion.com

|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com).*\$”

Далее создаем правила для маркировки соединений и пакетов:

● /ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

dr6taoteeod glxk856fzz3kxgq

mmic is7mesjcb6m d32rknjmjo

и правила для фильтра файрвола:

● /ip firewall filter add action=drop chain=forward packet-mark=youtube_packet add action=drop chain=input packet-mark=youtube_packet

kcev 1fvonj161k8ril5xz8hmf8

crgynsgkswduttbf2vrp9pk62ac

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу клиента, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

qgcrxx6tzlwxknramhoh6kfbxf4

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Прочитано 62 раз Последнее изменение Суббота, 06 Январь 2018 20:13

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим.

Последние комментарии

  • Алекс Ньюсмэйкер Написал Декабрь 24, 2017 О крутая инструкция...
  • Михаил Написал Михаил Декабрь 21, 2017 Здравствуйте. Подскажите пожалуйста, как сделать так, что бы при срабатывании правила DROP в / ip firewall filter этот IP перебрасывало…
  • Игорь Написал Игорь Декабрь 19, 2017 Добрый день! подскажите пожалуйста есть роутер Mikrotik RB 951 2n, задача состоит в том чтобы настроить 3 и 4 порт…

banner 3

 rss  vk groupe

 

Нравится ли вам наш блог?

Ключевое слово

Авторизация