Vitokhv Опубликовано 31 августа, 2019 · Жалоба Mikrotik Hex Lite (6.45.3) Подскажите, правильно ли составлен код, который должен блокировать домены в порядке - не трогать домен второго и первого уровня, и блокировать только домен третьего уровня? Чтобы оставалась возможность, например, использовать Яндекс поиск, но блокировать почту, если ссылка содержит https://mail.yandex.ru или https://mail.yandex.ru/?uid=12345678#inbox Инструкции взял из источников: #1 и #2 (в обеих инструкциях есть ошибка с символом $ об этом здесь: #3) /ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect add chain=dstnat protocol=tcp dst-port=53 action=redirect /ip firewall address-list add address=192.168.0.0/24 disabled=no list=drop_host /ip firewall layer7-protocol add name=drop_website regexp="^.+(mail.yandex|passport.yandex|e.mail|r.mail|mail.rambler|id.rambler|mail.google|gmail).*\$" /ip firewall mangle add action=mark-connection chain=prerouting src-address-list=drop_host protocol=udp dst-port=80,443,53 connection-mark=no-mark layer7-protocol=drop_website new-connection-mark=drop_website_conn passthrough=yes add action=mark-packet chain=prerouting src-address-list=drop_host connection-mark=drop_website_conn new-packet-mark=drop_website_packet /ip firewall filter add action=drop chain=forward packet-mark=drop_website_packet add action=drop chain=input packet-mark=drop_website_packet Может кто-то увидит ошибку в коде, подскажите куда смотреть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 сентября, 2019 · Жалоба https фильтровать не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 сентября, 2019 · Жалоба 2 часа назад, ShyLion сказал: https фильтровать не получится. А SNI? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 сентября, 2019 · Жалоба 3 hours ago, VolanD666 said: А SNI? Давно тик такое умеет? Just now, ShyLion said: Давно тик такое умеет? Хм, не знал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vitokhv Опубликовано 2 сентября, 2019 · Жалоба Получилось же, не пускает на https://mail.yandex.ru (просто для этого нужно перезапустить браузер или ПК, если потребуется: ipconfig /flushdns) Просто хотелось узнать, может где-то допущена ошибка и она может привести к запрету нужных ссылок содержащие первый и второй уровень. Может стоит добавить .ru и .com regexp="^.+(mail.yandex.ru|passport.yandex.ru|e.mail.ru|r.mail.ru|mail.rambler.ru|id.rambler.ru|mail.google.com|gmail.com).*\$" или точка возле символа $ будет мешать и получится точка на конце |mail.yandex.ru.* Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 сентября, 2019 · Жалоба 34 минуты назад, ShyLion сказал: Давно тик такое умеет? Хм, не знал. Я думаю что он просто пакет как строку парсит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 сентября, 2019 · Жалоба 14 minutes ago, VolanD666 said: Я думаю что он просто пакет как строку парсит... В мануле вот такое есть: Quote tls-host (string; Default: ) Allows to match https traffic based on TLS SNI hostname. Accepts GLOB syntax for wildcard matching. Note that matcher will not be able to match hostname if TLS handshake frame is fragmented into multiple TCP segments (packets). https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 сентября, 2019 · Жалоба О как, даже так сделали :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 сентября, 2019 · Жалоба Хз, правда, как там с производительностью. Как минимум надо такое в отдельный chain загонять, не только по порту но и по connection-bytes. 1 minute ago, VolanD666 said: О как, даже так сделали :) Сам в шоке. Местами молодцы. Местами хочется обидное сказать. @Vitokhv Quote Note: The L7 matcher is very resource intensive. Use this feature only for very specific traffic. It is not recommended to use L7 matcher for generic traffic, such as for blocking webpages. This will almost never work correctly and your device will exhaust it's resources, trying to catch all the traffic. Use other features to block webpages by URL https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 сентября, 2019 · Жалоба 19 минут назад, VolanD666 сказал: О как, даже так сделали :) Это ж Микротик. Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах. А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут. К тому же в недалеком будущем нешифрованного SNI не останется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 сентября, 2019 · Жалоба 2 минуты назад, alibek сказал: Это ж Микротик. Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах. А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут. К тому же в недалеком будущем нешифрованного SNI не останется. Где-то встречал в интернетах статью, что кто-то запрещенные сайты так режет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 сентября, 2019 · Жалоба 13 minutes ago, alibek said: Это ж Микротик. Главное — заявить фичу (а фильтрация по SNI сейчас много где есть), это хорошо сказывается на продажах. А то что в рабочем окружении фича неработоспособна — это мелочи, все равно ее использовать не будут. К тому же в недалеком будущем нешифрованного SNI не останется. А как мультихостинг будет серт выбирать? Сперва просто серт сервера проверять без проверки кому выдан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 сентября, 2019 · Жалоба Нырнул в бездны ESNI и DoH... веселые времена нас ждут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...