Разрешить доступ к vk.com и gosuslugi.ru

[7sergeynazarov7]

Добрый день подскажите пожалуйста как можно реализовать доступ к vk.com и gosuslugi.ru ? Если заблокирован пользователь не оплатил и т.д. Чтоб постоянно работали эти два сайта. Спасибо за ответы )))

[weedman]

В 08.02.2022 в 13:39, 7sergeynazarov7 сказал:

Добрый день подскажите пожалуйста как можно реализовать доступ к vk.com и gosuslugi.ru ? Если заблокирован пользователь не оплатил и т.д. Чтоб постоянно работали эти два сайта. Спасибо за ответы )))

Здравствуйте. Расскажите как у вас происходит блокировка, эта информация понадобится в любом случае.

[7sergeynazarov7]

On 2/8/2022 at 10:42 AM, weedman said:

Здравствуйте. Расскажите как у вас происходит блокировка, эта информация понадобится в любом случае.

 1    chain=forward action=drop src-address-list=crb_blocked_list log=no log-prefix=""

 2    chain=forward action=drop src-address-list=crb_negbal_list log=no log-prefix=""

 3    chain=forward action=accept src-address-list=crb_auth_list log=no log-prefix="

 

Есть три списка:

1) crb_blocked_list - это список принудительно заблокированных.

2) crb_negbal_list - это список по балансу заблокированных.

3) crb_auth_list - это список разрешенных.

 

[talyan]

В 08.02.2022 в 14:45, 7sergeynazarov7 сказал:

 1    chain=forward action=drop src-address-list=crb_blocked_list log=no log-prefix=""

 2    chain=forward action=drop src-address-list=crb_negbal_list log=no log-prefix=""

 3    chain=forward action=accept src-address-list=crb_auth_list log=no log-prefix="

 

Есть три списка:

1) crb_blocked_list - это список принудительно заблокированных.

2) crb_negbal_list - это список по балансу заблокированных.

3) crb_auth_list - это список разрешенных.

 

Биллинг не карбон случаем? Если да, у них там можно в админке, прописать сайты, которые при отрицательном балансе будут работать. В т.ч платежные, банковские и тд (см. где-то тут Справочники - ACL списки разрешённых сайтов)

Другой момент, если завтра этих сайтов 500 будет и они через день будут добавляться-удаляться. Тогда, как то так

 

Edited February 8, 2022 by talyan

[7sergeynazarov7]

On 2/8/2022 at 11:00 AM, talyan said:

Биллинг не карбон случаем? Если да, у них там можно в админке, прописать сайты, которые при отрицательном балансе будут работать. В т.ч платежные, банковские и тд (см. где-то тут Справочники - ACL списки разрешённых сайтов)

Другой момент, если завтра этих сайтов 500 будет и они через день будут добавляться-удаляться. Тогда, как то так

 

 

Carbon )))

[VolanD666]

Не проще не блокировать пользовать а резать скорость в 32 кбит, например? 

[7sergeynazarov7]

On 2/8/2022 at 11:52 AM, VolanD666 said:

Не проще не блокировать пользовать а резать скорость в 32 кбит, например? 

Но при такой скорости предпологаю, ничего не сделать... А сайты как я понимаю должны работать стандартно, быстро.

[VolanD666]

В 08.02.2022 в 11:55, 7sergeynazarov7 сказал:

Но при такой скорости предпологаю, ничего не сделать... А сайты как я понимаю должны работать стандартно, быстро.

Что значит стандартно быстро? Скажу сразу, я закона не читал, если там написаны конкретные параметры, то да- мой способ не подходит. А если в законе написано что должны открываться и не указаны временные рамки (например), то ограничение скорости не нарушает эти условия. 

 

Если хотите делать как надо, то для этих целей потребуется нормальный DPI.

[weedman]

Если не через карбон, а как вы хотели в начале, то я бы сделал отдельный address-list добавив в него разрешенные сайты (можно именно адреса).

Далее - создать правило разрешающие прохождение трафика к этим адресам, а потом поднять это правило выше блокирующих.

chain=forward action=accept dst-address-list=ваш address-list

[7sergeynazarov7]

On 2/8/2022 at 4:35 PM, weedman said:

Если не через карбон, а как вы хотели в начале, то я бы сделал отдельный address-list добавив в него разрешенные сайты (можно именно адреса).

Далее - создать правило разрешающие прохождение трафика к этим адресам, а потом поднять это правило выше блокирующих.

chain=forward action=accept dst-address-list=ваш address-list

Я тоже так планирую, но много адресов затрагивается для vk.com и госуслуг, вот нужно полность. отследить будет их.

[weedman]

В 08.02.2022 в 20:55, 7sergeynazarov7 сказал:

Я тоже так планирую, но много адресов затрагивается для vk.com и госуслуг, вот нужно полность. отследить будет их.

Нет необходимости в вбивании адресов, пишите доменное имя в поле адреса, он сам подтянет адреса.

[VolanD666]

А микротик точно обновит адреса когда у майла что-то поменяется?

[weedman]

В 08.02.2022 в 21:55, VolanD666 сказал:

А микротик точно обновит адреса когда у майла что-то поменяется?

Этого утверждать не могу

[Jora_1]

получить ip сайтов через адреслист и сделать к ним форвард в фильтре выше правила дропа не проблема, микрот быстро по домену обновит ip по истечение ттл. Проблема буде с сертификатами, так как к ним тоже должен быть доступ. Если человек в первые откроет у себя сайт, то он должен будет скачать сертификат.

Edited February 8, 2022 by Jora_1

[jffulcrum]

В 08.02.2022 в 17:55, VolanD666 сказал:

А микротик точно обновит адреса когда у майла что-то поменяется?

Он лезет на DNS за обновлениями по TTL, так, во всяком случае,заявлено. Там гораздо больше проблем с доступностью ресольвера - если при обновлении ресольвер не ответил, строка адресного списка перестает работать вообще.

[Saab95]

В 08.02.2022 в 18:36, Jora_1 сказал:

Проблема буде с сертификатами, так как к ним тоже должен быть доступ. Если человек в первые откроет у себя сайт, то он должен будет скачать сертификат.

 

В 08.02.2022 в 11:52, VolanD666 сказал:

Не проще не блокировать пользовать а резать скорость в 32 кбит, например? 

Как не вариант доступ к ресурсам на нормальной скорости, а на все остальное на 32 кбит.

[jffulcrum]

Коллеги, читайте 

 При активированном бесплатном доступе доступа в прочий Интернет быть просто не должно, прямо запрещено новыми Правилами ТУС