telcomnet Опубликовано 11 марта, 2015 · Жалоба Имеем CCR1036-12G-4S в качестве пограничного маршрутизатора. В данный момент производим блокировку запрещенных сайтов чисто по IP Пробовал настроить L7 но при кол-ве 4 тыс записей микротик уходил в долгий сон. Вопрос такой, кто то поборол или нашел решение как блокировать на микротике по URL и что бы при этом он не умирал? Быть может есть какие то решения? Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 11 марта, 2015 · Жалоба В днс статические записи внести с перенаправлением , но их легко обойти Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 11 марта, 2015 · Жалоба нет там решения. Как ни крути придется анализировать весь трафик на глубоком уровне, что убьет проц Микротика на серьезном трафике. ищите другие решения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 12 марта, 2015 · Жалоба Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telcomnet Опубликовано 12 марта, 2015 · Жалоба Беру ip из реестра плюс разименовываю домены из реестра, полученные ип заворачиваю на прокси, а там уже нужное блокирую, а ненужное проходит, но полной блокировки это не дает, планирую ставить карбон редуктор Тоже смотрю в сторону карбона. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma_good Опубликовано 13 марта, 2015 · Жалоба Тоже смотрю в сторону карбона. можно по подробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 14 марта, 2015 · Жалоба можно по подробнее? http://docs.carbonsoft.ru/pages/viewpage.action?pageId=38666244 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nanaiki Опубликовано 16 марта, 2015 (изменено) · Жалоба Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует... Самый простой вариант - скачивать реестр на win/unix машине и батником/shell скриптом обновлять access-list на микротике, тут была масса примеров как это можно сделать. Потянет любая железка, микротиковские access-list основаны на ядерном ipset (работают быстро, процессор не грузят). Изменено 16 марта, 2015 пользователем nanaiki Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 16 марта, 2015 · Жалоба Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует... В рекомендациях п. 4.3.2 http://eais.rkn.gov.ru/docs/Recomendation.pdf как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем. А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eoleg Опубликовано 22 августа, 2016 (изменено) · Жалоба Не надо лишних инициатив, никто вас не просит резолвить домены в IP адреса. Блокировать только по IP, только те которые указаны в реестре. Если будете резолвить - не пройдете выездную проверку. У каждого провайдера есть свой куратор в РКН, обратитесь к своему за разъяснениями. Объясняю почему не нужно резолвить для тех кто не знает: товарищи из заблокированного списка запросто могут внести в свои DNS зоны IP адреса ресурсов, которые не нужно блокировать, такие как сайт царя например. И если сайт царя у васи пупкина не откроется - он запросто напишет гневное письмо в РКН о том, что провайдер блокирует доступ. Предположите сами что за этим последует... В рекомендациях п. 4.3.2 http://eais.rkn.gov.ru/docs/Recomendation.pdf как раз и говорится о резолвинге доменов в ип, но как я писал выше, при резолвинге я получаю просто список ип для редиректа на сквид, а на сквиде уже смотрю, если url есть в списке запретных, то он блочится, а если там висит сайт, ктр в реестре нет, то запрос проходит без проблем. А насчет блокировке только по ип из реестра....я по началу так и делал, но получил устное предписание, что очень много пропусков,в итоге сделал схему с резолвингом и сквидом. А как вы блокируете youtube? Весь чтоли если по ip? ) А если нет то каким образом в блокируете ролики да ещё по https? Изменено 22 августа, 2016 пользователем eoleg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 22 августа, 2016 · Жалоба А как вы блокируете youtube? Весь чтоли если по ip? ) А если нет то каким образом в блокируете ролики да ещё по https? Поставил Карбон Редуктор , он все блокирует, ну кроме записей, ктр надо блочить по ип целиком, их выгружаю на микротик. записей ютуба с https в реестре нет, только хттп Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 22 августа, 2016 (изменено) · Жалоба А как вы блокируете youtube? /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube.com).*\$" /ip firewall filter add action=drop chain=forward comment="drop youtube" \ layer7-protocol=youtube src-address=10.0.0.128/26 Изменено 22 августа, 2016 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...