Jump to content
Калькуляторы

Mikrotik - Запретить все, кроме определенных сайтов. Кто и как делал подобное?

Ребят появилась необходимость на MT запретить все, кроме определенных сайтов.

Пробовал в L7 маркировать пакеты и выбирать srcnat l7 протокол маскарадинг, но не канало...

далее пробовал в фаерволе... выбирал запретить все кроме маркированых L7 (! ставил)

блокировать получается сайты... а вот все блокировать кроме определенных нет...

Share this post


Link to post
Share on other sites

Можно запретить весь ДНС, а можно использовать прокси. Вообще такие задачи не для микротика, следует использовать специализированное ПО.

Share this post


Link to post
Share on other sites

Добрый день.

 

Возможно, решение сильно простое, но, по-моему, проще некуда.

"Нужные сайты" добавляете в Адресс лист.

В фаерволе разрешаете этот лист.

Правилом ниже запрещаете выход в интернет.

Все.

 

Т.е., практически то же, что делали и Вы, только не маркировкой пользоваться, а листом.

Share this post


Link to post
Share on other sites

а точнее в адрес лист добавлять ip сайтов, так?

а как быть в таком случае, если у сайта куча ip и некоторые из них могут иногда меняться?

Share this post


Link to post
Share on other sites

Ya.ru для примера.

 

1. Можно попробовать nslookup.

(cmd - nslookup ya.ru) либо

(cmd - nslookup ya.ru 8.8.8.8)

 

2. Можно воспользоваться онлайн сервисами. Например:

bgp.he.net/dns/ya.ru

 

3. В Микротике в консоли:

put [:resolve ya.ru]

(отрабатывает криво, как мне кажется)

 

4.

Chain=forward

protocol=tcp

out interface=Ваш внешний интерфейс

Content=Host:ya.ru

Action=reject with tcp-reset

(блокировка всех адресов, в названии которых присутствует ya.ru)

 

Насчет смены адресов, не подскажу...

Edited by Advvokat

Share this post


Link to post
Share on other sites

Апну тему, тоже очень интересует. Только туда еще пытался vnc прикрутить, чтоб в локалку смотреть из вне. В итоге ничего не получидось. Через прокси как-то тоже не заработало и манов в инете кот наплакал по этой теме...

Share this post


Link to post
Share on other sites

(блокировка всех адресов, в названии которых присутствует ya.ru)

Надо немного наоборот... запретить все, кроме определенных сайтов

Тема на хабре:

 

habrahabr.ru/post/242143

По данному методу вроде как можно решить данную задачу, но это будет костыль и он будет криво работать с доменами у которых несколько ip...

Share this post


Link to post
Share on other sites

В последнем релизе (6.36) можно делать адрес-листы из доменных имен.

Правда, резолвинг происходит не при каждом обращении, а по истечении TTL

Share this post


Link to post
Share on other sites

У меня сделано следующим образом есть 3 группы A B C

A полный доступ к инету

B только разрешенные саиты которые прописаны в листах

С полностью дропается вся подсеть но есть доступ на те саиты которые прописаны в

Ну и собственно сами правила

/ip firewall

add action=accept chain=forward comment=BAN-Accept disabled=yes log-prefix="" src-address-list=GROUP-A

add action=drop chain=forward comment="BAN-White list" disabled=yes dst-address-list="!BAN-White list" log-prefix="" src-address-list=GROUP-B

add action=drop chain=forward comment=BAN-Ethernet disabled=yes dst-address-list=!Ban-Ethernet log-prefix="" src-address-list=GROUP-С

 

/ip firewall address-list

 

add address=10.0.0.0/24 list=GROUP-C

add address=10.0.0.2 list=GROUP-B

add address=10.0.0.5 list=CLASS-A

 

add address=ntp-servers.net list=Ban-Ethernet

add address=mail.ru list="BAN-White list"

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.