Jump to content

Mikrotik и список запрещенных сайтов

telcomnet

By telcomnet
in Mikrotik Wireless

 Share

Recommended Posts

telcomnet

telcomnet

Posted
Posted

Имеем CCR1036-12G-4S в качестве пограничного маршрутизатора.

В данный момент производим блокировку запрещенных сайтов чисто по IP

Пробовал настроить L7 но при кол-ве 4 тыс записей микротик уходил в долгий сон.

 

Вопрос такой, кто то поборол или нашел решение как блокировать на микротике по URL и что бы при этом он не умирал?

Быть может есть какие то решения?

Спасибо!

Negator

Negator

Posted
Posted

нет там решения.

Как ни крути придется анализировать весь трафик на глубоком уровне, что убьет проц Микротика на серьезном трафике.

ищите другие решения.

Tem

Tem

Posted
Posted

Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор

telcomnet

telcomnet

Posted
  • Author
Posted

Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор

 

Тоже смотрю в сторону карбона.

nanaiki

nanaiki

Posted
Posted (edited)

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

Самый простой вариант - скачивать реестр на win/unix машине и батником/shell скриптом обновлять access-list на микротике, тут была масса примеров как это можно сделать. Потянет любая железка, микротиковские access-list основаны на ядерном ipset (работают быстро, процессор не грузят).

Edited by nanaiki
Tem

Tem

Posted
Posted

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

В рекомендациях п. 4.3.2

http://eais.rkn.gov.ru/docs/Recomendation.pdf

как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем.

А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом.

  • 1 year later...
eoleg

eoleg

Posted
Posted (edited)

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

В рекомендациях п. 4.3.2

http://eais.rkn.gov.ru/docs/Recomendation.pdf

как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем.

А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом.

А как вы блокируете youtube?

Весь чтоли если по ip? )

А если нет то каким образом в блокируете ролики да ещё по https?

Edited by eoleg
Tem

Tem

Posted
Posted

А как вы блокируете youtube?

Весь чтоли если по ip? )

А если нет то каким образом в блокируете ролики да ещё по https?

 

Поставил Карбон Редуктор , он все блокирует, ну кроме записей, ктр надо блочить по ип целиком, их выгружаю на микротик.

записей ютуба с https в реестре нет, только хттп

mafijs

mafijs

Posted
Posted (edited)

А как вы блокируете youtube?

 

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube.com).*\$"
/ip firewall filter
add action=drop chain=forward comment="drop youtube" \
   layer7-protocol=youtube src-address=10.0.0.128/26

Edited by mafijs

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.