Mikrotik - Запретить все, кроме определенных сайтов.

[a25k03]

Ребят появилась необходимость на MT запретить все, кроме определенных сайтов.

Пробовал в L7 маркировать пакеты и выбирать srcnat l7 протокол маскарадинг, но не канало...

далее пробовал в фаерволе... выбирал запретить все кроме маркированых L7 (! ставил)

блокировать получается сайты... а вот все блокировать кроме определенных нет...

[Saab95]

Можно запретить весь ДНС, а можно использовать прокси. Вообще такие задачи не для микротика, следует использовать специализированное ПО.

[a25k03]

без прокси надо...

https тоже проксить?

хочу на МТ )

Edited April 20, 2016 by a25k03

[SSD]

без прокси надо...

https тоже проксить?

хочу на МТ )

Прозрачный прокси чем не устраивает?

[Advvokat]

Добрый день.

 

Возможно, решение сильно простое, но, по-моему, проще некуда.

"Нужные сайты" добавляете в Адресс лист.

В фаерволе разрешаете этот лист.

Правилом ниже запрещаете выход в интернет.

Все.

 

Т.е., практически то же, что делали и Вы, только не маркировкой пользоваться, а листом.

[a25k03]

а точнее в адрес лист добавлять ip сайтов, так?

а как быть в таком случае, если у сайта куча ip и некоторые из них могут иногда меняться?

[Advvokat]

Ya.ru для примера.

 

1. Можно попробовать nslookup.

(cmd - nslookup ya.ru) либо

(cmd - nslookup ya.ru 8.8.8.8)

 

2. Можно воспользоваться онлайн сервисами. Например:

bgp.he.net/dns/ya.ru

 

3. В Микротике в консоли:

put [:resolve ya.ru]

(отрабатывает криво, как мне кажется)

 

4.

Chain=forward

protocol=tcp

out interface=Ваш внешний интерфейс

Content=Host:ya.ru

Action=reject with tcp-reset

(блокировка всех адресов, в названии которых присутствует ya.ru)

 

Насчет смены адресов, не подскажу...

Edited April 25, 2016 by Advvokat

[Advvokat]

Тема на хабре:

 

habrahabr.ru/post/242143

Edited April 25, 2016 by Advvokat

[kolizey]

Апну тему, тоже очень интересует. Только туда еще пытался vnc прикрутить, чтоб в локалку смотреть из вне. В итоге ничего не получидось. Через прокси как-то тоже не заработало и манов в инете кот наплакал по этой теме...

[a25k03]

(блокировка всех адресов, в названии которых присутствует ya.ru)

Надо немного наоборот... запретить все, кроме определенных сайтов

Тема на хабре:

 

habrahabr.ru/post/242143

По данному методу вроде как можно решить данную задачу, но это будет костыль и он будет криво работать с доменами у которых несколько ip...

[VolanD666]

Не стоит на микротике l7 фильтровать имхо.

[Night_Snake]

В последнем релизе (6.36) можно делать адрес-листы из доменных имен.

Правда, резолвинг происходит не при каждом обращении, а по истечении TTL

[N-Ban]

У меня сделано следующим образом есть 3 группы A B C

A полный доступ к инету

B только разрешенные саиты которые прописаны в листах

С полностью дропается вся подсеть но есть доступ на те саиты которые прописаны в

Ну и собственно сами правила

/ip firewall

add action=accept chain=forward comment=BAN-Accept disabled=yes log-prefix="" src-address-list=GROUP-A

add action=drop chain=forward comment="BAN-White list" disabled=yes dst-address-list="!BAN-White list" log-prefix="" src-address-list=GROUP-B

add action=drop chain=forward comment=BAN-Ethernet disabled=yes dst-address-list=!Ban-Ethernet log-prefix="" src-address-list=GROUP-С

 

/ip firewall address-list

 

add address=10.0.0.0/24 list=GROUP-C

add address=10.0.0.2 list=GROUP-B

add address=10.0.0.5 list=CLASS-A

 

add address=ntp-servers.net list=Ban-Ethernet

add address=mail.ru list="BAN-White list"