Перейти к содержимому
Калькуляторы

Mikrotik и список запрещенных сайтов CCR1036-12G-4S

Имеем CCR1036-12G-4S в качестве пограничного маршрутизатора.

В данный момент производим блокировку запрещенных сайтов чисто по IP

Пробовал настроить L7 но при кол-ве 4 тыс записей микротик уходил в долгий сон.

 

Вопрос такой, кто то поборол или нашел решение как блокировать на микротике по URL и что бы при этом он не умирал?

Быть может есть какие то решения?

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В днс статические записи внести с перенаправлением , но их легко обойти

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет там решения.

Как ни крути придется анализировать весь трафик на глубоком уровне, что убьет проц Микротика на серьезном трафике.

ищите другие решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор

 

Тоже смотрю в сторону карбона.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже смотрю в сторону карбона.

можно по подробнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

Самый простой вариант - скачивать реестр на win/unix машине и батником/shell скриптом обновлять access-list на микротике, тут была масса примеров как это можно сделать. Потянет любая железка, микротиковские access-list основаны на ядерном ipset (работают быстро, процессор не грузят).

Изменено пользователем nanaiki

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

В рекомендациях п. 4.3.2

http://eais.rkn.gov.ru/docs/Recomendation.pdf

как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем.

А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует...

 

В рекомендациях п. 4.3.2

http://eais.rkn.gov.ru/docs/Recomendation.pdf

как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем.

А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом.

А как вы блокируете youtube?

Весь чтоли если по ip? )

А если нет то каким образом в блокируете ролики да ещё по https?

Изменено пользователем eoleg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как вы блокируете youtube?

Весь чтоли если по ip? )

А если нет то каким образом в блокируете ролики да ещё по https?

 

Поставил Карбон Редуктор , он все блокирует, ну кроме записей, ктр надо блочить по ип целиком, их выгружаю на микротик.

записей ютуба с https в реестре нет, только хттп

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как вы блокируете youtube?

 

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube.com).*\$"
/ip firewall filter
add action=drop chain=forward comment="drop youtube" \
   layer7-protocol=youtube src-address=10.0.0.128/26

Изменено пользователем mafijs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.