Vitokhv Posted August 31, 2019 Mikrotik Hex Lite (6.45.3) Подскажите, правильно ли составлен код, который должен блокировать домены в порядке - не трогать домен второго и первого уровня, и блокировать только домен третьего уровня? Чтобы оставалась возможность, например, использовать Яндекс поиск, но блокировать почту, если ссылка содержит https://mail.yandex.ru или https://mail.yandex.ru/?uid=12345678#inbox Инструкции взял из источников: #1 и #2 (в обеих инструкциях есть ошибка с символом $ об этом здесь: #3) /ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect add chain=dstnat protocol=tcp dst-port=53 action=redirect /ip firewall address-list add address=192.168.0.0/24 disabled=no list=drop_host /ip firewall layer7-protocol add name=drop_website regexp="^.+(mail.yandex|passport.yandex|e.mail|r.mail|mail.rambler|id.rambler|mail.google|gmail).*\$" /ip firewall mangle add action=mark-connection chain=prerouting src-address-list=drop_host protocol=udp dst-port=80,443,53 connection-mark=no-mark layer7-protocol=drop_website new-connection-mark=drop_website_conn passthrough=yes add action=mark-packet chain=prerouting src-address-list=drop_host connection-mark=drop_website_conn new-packet-mark=drop_website_packet /ip firewall filter add action=drop chain=forward packet-mark=drop_website_packet add action=drop chain=input packet-mark=drop_website_packet Может кто-то увидит ошибку в коде, подскажите куда смотреть... Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 2, 2019 https фильтровать не получится. Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 2, 2019 2 часа назад, ShyLion сказал: https фильтровать не получится. А SNI? Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 2, 2019 3 hours ago, VolanD666 said: А SNI? Давно тик такое умеет? Just now, ShyLion said: Давно тик такое умеет? Хм, не знал. Share this post Link to post Share on other sites More sharing options...
Vitokhv Posted September 2, 2019 Получилось же, не пускает на https://mail.yandex.ru (просто для этого нужно перезапустить браузер или ПК, если потребуется: ipconfig /flushdns) Просто хотелось узнать, может где-то допущена ошибка и она может привести к запрету нужных ссылок содержащие первый и второй уровень. Может стоит добавить .ru и .com regexp="^.+(mail.yandex.ru|passport.yandex.ru|e.mail.ru|r.mail.ru|mail.rambler.ru|id.rambler.ru|mail.google.com|gmail.com).*\$" или точка возле символа $ будет мешать и получится точка на конце |mail.yandex.ru.* Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 2, 2019 34 минуты назад, ShyLion сказал: Давно тик такое умеет? Хм, не знал. Я думаю что он просто пакет как строку парсит... Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 2, 2019 14 minutes ago, VolanD666 said: Я думаю что он просто пакет как строку парсит... В мануле вот такое есть: Quote tls-host (string; Default: ) Allows to match https traffic based on TLS SNI hostname. Accepts GLOB syntax for wildcard matching. Note that matcher will not be able to match hostname if TLS handshake frame is fragmented into multiple TCP segments (packets). https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 2, 2019 О как, даже так сделали :) Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 2, 2019 Хз, правда, как там с производительностью. Как минимум надо такое в отдельный chain загонять, не только по порту но и по connection-bytes. 1 minute ago, VolanD666 said: О как, даже так сделали :) Сам в шоке. Местами молодцы. Местами хочется обидное сказать. @Vitokhv Quote Note: The L7 matcher is very resource intensive. Use this feature only for very specific traffic. It is not recommended to use L7 matcher for generic traffic, such as for blocking webpages. This will almost never work correctly and your device will exhaust it's resources, trying to catch all the traffic. Use other features to block webpages by URL https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 Share this post Link to post Share on other sites More sharing options...
alibek Posted September 2, 2019 19 минут назад, VolanD666 сказал: О как, даже так сделали :) Это ж Микротик. Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах. А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут. К тому же в недалеком будущем нешифрованного SNI не останется. Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 2, 2019 2 минуты назад, alibek сказал: Это ж Микротик. Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах. А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут. К тому же в недалеком будущем нешифрованного SNI не останется. Где-то встречал в интернетах статью, что кто-то запрещенные сайты так режет :) Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 2, 2019 13 minutes ago, alibek said: Это ж Микротик. Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах. А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут. К тому же в недалеком будущем нешифрованного SNI не останется. А как мультихостинг будет серт выбирать? Сперва просто серт сервера проверять без проверки кому выдан? Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 2, 2019 Нырнул в бездны ESNI и DoH... веселые времена нас ждут. Share this post Link to post Share on other sites More sharing options...
