Jump to content
Калькуляторы

Mikrotik и список запрещенных сайтов CCR1036-12G-4S

Имеем CCR1036-12G-4S в качестве пограничного маршрутизатора.

В данный момент производим блокировку запрещенных сайтов чисто по IP

Пробовал настроить L7 но при кол-ве 4 тыс записей микротик уходил в долгий сон.

 

Вопрос такой, кто то поборол или нашел решение как блокировать на микротике по URL и что бы при этом он не умирал?

Быть может есть какие то решения?

Спасибо!

Share this post


Link to post
Share on other sites

В днс статические записи внести с перенаправлением , но их легко обойти

Share this post


Link to post
Share on other sites

нет там решения.

Как ни крути придется анализировать весь трафик на глубоком уровне, что убьет проц Микротика на серьезном трафике.

ищите другие решения.

Share this post


Link to post
Share on other sites

Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор

Share this post


Link to post
Share on other sites

Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор

 

Тоже смотрю в сторону карбона.

Share this post


Link to post
Share on other sites

Тоже смотрю в сторону карбона.

можно по подробнее?

Share this post


Link to post
Share on other sites

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

Самый простой вариант - скачивать реестр на win/unix машине и батником/shell скриптом обновлять access-list на микротике, тут была масса примеров как это можно сделать. Потянет любая железка, микротиковские access-list основаны на ядерном ipset (работают быстро, процессор не грузят).

Edited by nanaiki

Share this post


Link to post
Share on other sites

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

В рекомендациях п. 4.3.2

http://eais.rkn.gov.ru/docs/Recomendation.pdf

как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем.

А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом.

Share this post


Link to post
Share on other sites

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

В рекомендациях п. 4.3.2

http://eais.rkn.gov.ru/docs/Recomendation.pdf

как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем.

А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом.

А как вы блокируете youtube?

Весь чтоли если по ip? )

А если нет то каким образом в блокируете ролики да ещё по https?

Edited by eoleg

Share this post


Link to post
Share on other sites

А как вы блокируете youtube?

Весь чтоли если по ip? )

А если нет то каким образом в блокируете ролики да ещё по https?

 

Поставил Карбон Редуктор , он все блокирует, ну кроме записей, ктр надо блочить по ип целиком, их выгружаю на микротик.

записей ютуба с https в реестре нет, только хттп

Share this post


Link to post
Share on other sites

А как вы блокируете youtube?

 

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube.com).*\$"
/ip firewall filter
add action=drop chain=forward comment="drop youtube" \
   layer7-protocol=youtube src-address=10.0.0.128/26

Edited by mafijs

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this