[Vitokhv]

Mikrotik Hex Lite (6.45.3)

 

Подскажите, правильно ли составлен код, который должен блокировать домены в порядке - не трогать домен второго и первого уровня, и блокировать только домен третьего уровня?

Чтобы оставалась возможность, например, использовать Яндекс поиск, но блокировать почту, если ссылка содержит https://mail.yandex.ru или https://mail.yandex.ru/?uid=12345678#inbox

 

 

Инструкции взял из источников: #1 и #2 (в обеих инструкциях есть ошибка с символом $ об этом здесь: #3)

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect
add chain=dstnat protocol=tcp dst-port=53 action=redirect
/ip firewall address-list
add address=192.168.0.0/24 disabled=no list=drop_host
/ip firewall layer7-protocol
add name=drop_website regexp="^.+(mail.yandex|passport.yandex|e.mail|r.mail|mail.rambler|id.rambler|mail.google|gmail).*\$"
/ip firewall mangle
add action=mark-connection chain=prerouting src-address-list=drop_host protocol=udp dst-port=80,443,53 connection-mark=no-mark layer7-protocol=drop_website new-connection-mark=drop_website_conn passthrough=yes
add action=mark-packet chain=prerouting src-address-list=drop_host connection-mark=drop_website_conn new-packet-mark=drop_website_packet
/ip firewall filter
add action=drop chain=forward packet-mark=drop_website_packet
add action=drop chain=input packet-mark=drop_website_packet

Может кто-то увидит ошибку в коде, подскажите куда смотреть...

[ShyLion]

https фильтровать не получится.

[VolanD666]

2 часа назад, ShyLion сказал:

https фильтровать не получится.

А SNI?

[ShyLion]

3 hours ago, VolanD666 said:

А SNI?

Давно тик такое умеет?

 

Just now, ShyLion said:

Давно тик такое умеет?

Хм, не знал.

[Vitokhv]

Получилось же, не пускает на https://mail.yandex.ru (просто для этого нужно перезапустить браузер или ПК, если потребуется: ipconfig /flushdns)

Просто хотелось узнать, может где-то допущена ошибка и она может привести к запрету нужных ссылок содержащие первый и второй уровень.

 

Может стоит добавить .ru и .com 

regexp="^.+(mail.yandex.ru|passport.yandex.ru|e.mail.ru|r.mail.ru|mail.rambler.ru|id.rambler.ru|mail.google.com|gmail.com).*\$"

или точка возле символа $ будет мешать и получится точка на конце

|mail.yandex.ru.*

[VolanD666]

34 минуты назад, ShyLion сказал:

Давно тик такое умеет?

 

Хм, не знал.

Я думаю что он просто пакет как строку парсит...

[ShyLion]

14 minutes ago, VolanD666 said:

Я думаю что он просто пакет как строку парсит...

В мануле вот такое есть:

Quote

tls-host (string; Default: )

Allows to match https traffic based on TLS SNI hostname. Accepts GLOB syntax for wildcard matching. Note that matcher will not be able to match hostname if TLS handshake frame is fragmented into multiple TCP segments (packets).

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

[VolanD666]

О как, даже так сделали :)

[ShyLion]

Хз, правда, как там с производительностью. Как минимум надо такое в отдельный chain загонять, не только по порту но и по connection-bytes.

 

1 minute ago, VolanD666 said:

О как, даже так сделали :)

Сам в шоке.

Местами молодцы.

Местами хочется обидное сказать.

 

@Vitokhv 

Quote

Note: The L7 matcher is very resource intensive. Use this feature only for very specific traffic. It is not recommended to use L7 matcher for generic traffic, such as for blocking webpages. This will almost never work correctly and your device will exhaust it's resources, trying to catch all the traffic. Use other features to block webpages by URL

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7

[alibek]

19 минут назад, VolanD666 сказал:

О как, даже так сделали :)

Это ж Микротик.

Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах.

А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут.

К тому же в недалеком будущем нешифрованного SNI не останется.

[VolanD666]

2 минуты назад, alibek сказал:

Это ж Микротик.

Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах.

А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут.

К тому же в недалеком будущем нешифрованного SNI не останется.

Где-то встречал в интернетах статью, что кто-то запрещенные сайты так режет :)

[ShyLion]

13 minutes ago, alibek said:

Это ж Микротик.

Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах.

А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут.

К тому же в недалеком будущем нешифрованного SNI не останется.

А как мультихостинг будет серт выбирать? Сперва просто серт сервера проверять без проверки кому выдан?

[ShyLion]

Нырнул в бездны ESNI и DoH... веселые времена нас ждут.