Блокировка доступа по layer7


	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

shrec	19.03.2019 - 15:00 [ показать ]
Статус: Offline ¯\_(ツ)_/¯ Регистрация: 8.04.14 Сообщений: 1429	0 собственно есть микрот есть на нем настройки блокировок социалок и др вещей по протоколу layer7 как ограничить доступ ТОЛЬКО к яндекс музыки и видео ? не похерив сам поисковик почту и др а то у меня вот такие косяки встречаются 0) при выключении доступа к фб и инсте ^.+(facebook\|Instagram).$ - вазап через вайвай начинает херовничать ) отключаемс ютуп ^.+(youtube\|youtu).$ - отваливается гмайл и магазин хрома )
	[^]

Yap	[ показать ] [x]
Продам слона Регистрация: 10.12.04 Сообщений: 1488
	[^]

Djohar	19.03.2019 - 15:05 [ показать ] 5
Статус: Offline Хохмач Регистрация: 5.04.05 Сообщений: 766	Дяденька, я не настоящий сварщик...
	[^]

~~DaBoogieWoog~~	19.03.2019 - 15:34 [ показать ] 3
Статус: Offline Балагур Регистрация: 6.05.15 Сообщений: 805	слишком жёсткая маска
	[^]

Рептилий	19.03.2019 - 15:36 [ показать ] 6
Статус: Offline Ярила Регистрация: 4.05.12 Сообщений: 5381	Роскомнадзор, перелогиньтесь!
	[^]

shrec

19.03.2019 - 15:41

Статус: Offline

¯\_(ツ)_/¯

Регистрация: 8.04.14
Сообщений: 1429

Цитата (DaBoogieWoog @ 19.03.2019 - 15:34)

слишком жёсткая маска

чем ? если домен целиком указывать эффект тот же.

[^]

Taicho	19.03.2019 - 16:56 [ показать ] 0
Статус: Offline Ярила Регистрация: 2.03.10 Сообщений: 2218	Александр Жаров, перелогиньтесь Это сообщение отредактировал Taicho - 19.03.2019 - 16:56
	[^]

tumbochko	19.03.2019 - 17:49 [ показать ] 1
Статус: Offline Шутник Регистрация: 26.10.14 Сообщений: 74	что-то мне подсказывает, что вазап пользует сервера мордокниги для своей работы, т.к. фактически ей принадлежит. хром и гмыл -- те же яйца, но вид с боку. имхо, лучше поставить нормальную проксю и там порезать что нужно.
	[^]

shrec

20.03.2019 - 07:56

Статус: Offline

¯\_(ツ)_/¯

Регистрация: 8.04.14
Сообщений: 1429

Цитата (tumbochko @ 19.03.2019 - 17:49)

что-то мне подсказывает, что вазап пользует сервера мордокниги для своей работы, т.к. фактически ей принадлежит.
хром и гмыл -- те же яйца, но вид с боку.

имхо, лучше поставить нормальную проксю и там порезать что нужно.

то есть если я пока не дорос делать более тонкие правила на фильтрацию контента.

надо поставить проксю и там делать эти правила ? пять балов

[^]

tumbochko

20.03.2019 - 13:36

Статус: Offline

Шутник

Регистрация: 26.10.14
Сообщений: 74

Цитата

то есть если я пока не дорос делать более тонкие правила на фильтрацию контента

ну смотри, ты зарезал все что содержит в адресе слова facebook, instagram, youtube, youtu, увидел что что-то стало криво работать бежишь на форму, не очень профильный, к тому же.
Вместо того чтобы посмотреть а почему так, может сервисы зачем-то куда-то лезут и в запросах есть слова попадающие под маску...

Цитата

надо поставить проксю

в которой уже кто-то вместо тебя запили категоризацию и блокировку по категориям...

[^]

~~zaebatov~~

20.03.2019 - 13:48

Статус: Offline

Лауреат золотой недали

Регистрация: 4.03.16
Сообщений: 585

Держите ТС

Цитата

/ip firewall layer7-protocol add name=http-video regexp="http/(0.9|1.0|1.1)[x09-x0d ][1-5][0-9][0-9][x09-x0d -~]*(content-type: video)"
/ip firewall mangle add action=mark-packet chain=prerouting comment="http-video mark-packet" disabled=no layer7-protocol=http-video new-packet-mark=http-video passthrough=no
/ip firewall filter add action=drор chain=forward comment="http-video blocking" packet-mark=http-video

Это сообщение отредактировал zaebatov - 20.03.2019 - 13:48

[^]

shrec	20.03.2019 - 14:25 [ показать ] 0
Статус: Offline ¯\_(ツ)_/¯ Регистрация: 8.04.14 Сообщений: 1429	zaebatov https://forum.mikrotik.com/viewtopic.php?t=117525 - оно не работает
	[^]

~~DaBoogieWoog~~	21.03.2019 - 07:40 [ показать ] 0
Статус: Offline Балагур Регистрация: 6.05.15 Сообщений: 805	shrec а может дело в том, что запросы дропятся? вместо дропа попробуй поставить заглушку, которая будет отвечать. ибо если в HOSTS для youtube.com прописать 127.0.0.1 то гмыло и гуглоплей работает подозреваю, что на этих сайтах отрабатывает какой-то JS, проверяющий кукисы через кросс-доменные запросы и если при этом не возвращается вообще никакого ответа, то скрипт отрабатывает не совсем корректно. так-что просто сделай LOOP на любой локальный ресурс, который может ответить отказом, а не "пустотой"
	[^]

shrec

21.03.2019 - 10:29

Статус: Offline

¯\_(ツ)_/¯

Регистрация: 8.04.14
Сообщений: 1429

Цитата (DaBoogieWoog @ 21.03.2019 - 07:40)

shrec

ибо если в HOSTS для youtube.com прописать 127.0.0.1
то гмыло и гуглоплей работает

я может вас не правильно понял но

C:\Windows\System32\drivers\etc\hosts - сюда да вписать ?

[^]

~~DaBoogieWoog~~

21.03.2019 - 15:43

Статус: Offline

Балагур

Регистрация: 6.05.15
Сообщений: 805

Цитата (shrec @ 21.03.2019 - 10:29)

я может вас не правильно понял но

C:\Windows\System32\drivers\etc\hosts - сюда да вписать ?

нет конечно

это я просто проверял свою мысль о возможных причинах блокировки "зависимых" сайтов,
проверял через то, что было доступно
и догадка подтвердилась...

в вашем случае файервол отдаёт drор и браузер вообще ничего не получает в ответ,
а в случае с hosts машинка ответит отказом, скрипты при этом отрабатывают корректно и выполнение сценария продолжается

[^]

shrec	21.03.2019 - 16:46 [ показать ] 0
Статус: Offline ¯\_(ツ)_/¯ Регистрация: 8.04.14 Сообщений: 1429	DaBoogieWoog dns static ? вы про это ?
	[^]

~~DaBoogieWoog~~	21.03.2019 - 17:22 [ показать ] 0
Статус: Offline Балагур Регистрация: 6.05.15 Сообщений: 805	shrec нет, я про то, что в правилах вашего файервола вы не должны по маске делать action=drор а скорее всего action=reject или перенаправление запроса куда-то в заглушку: action=dst-nat to-addresses=192.168.1.20 (она при этом должна отвечать тем же reject т.е. не drор`ать пакеты, а отвечать, что порт закрыт гуглите мануал по настройке правил
	[^]

~~DaBoogieWoog~~	21.03.2019 - 17:25 [ показать ] 0
Статус: Offline Балагур Регистрация: 6.05.15 Сообщений: 805	а сколько у вас компьютеров в сети, которые вы пытаетесь закрыть этими правилами? если 1-2, то может и не париться, а просто записать в hosts заглушки вроде 127.0.0.1 youtube.com 127.0.0.1 www.youtube.com 127.0.0.1 facebook.com и т.д.
	[^]

shrec

21.03.2019 - 17:27

Статус: Offline

¯\_(ツ)_/¯

Регистрация: 8.04.14
Сообщений: 1429

DaBoogieWoog
блин да пофиг что не пашет гугло почта или вацап лагает.

мне яндекс видео нужно зарезать )

и да

Цитата

а просто записать в hosts заглушки вроде
127.0.0.1 youtube.com
127.0.0.1 www.youtube.com
127.0.0.1 facebook.com

это не работает )

Это сообщение отредактировал shrec - 21.03.2019 - 17:29

[^]

NetFix

21.03.2019 - 17:53

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1550

Цитата (shrec @ 21.03.2019 - 17:27)

DaBoogieWoog
блин да пофиг что не пашет гугло почта или вацап лагает.

мне яндекс видео нужно зарезать )

и да

Цитата

а просто записать в hosts заглушки вроде
127.0.0.1 youtube.com
127.0.0.1 www.youtube.com
127.0.0.1 facebook.com

это не работает )

Почему не работает? Блокировать на уровне днс, и мониторить всякиие 8.8.8.8 8.8.4.4 с донесением начальству.

[^]

NetFix	21.03.2019 - 17:55 [ показать ] 0
Статус: Offline Ярила Регистрация: 14.08.13 Сообщений: 1550	Тупо фильтрацию домена ещё проще обойти.
	[^]

shrec

21.03.2019 - 19:26

Статус: Offline

¯\_(ツ)_/¯

Регистрация: 8.04.14
Сообщений: 1429

NetFix
если пользователь в состоянии самостоятельно настроить vpn соединение, то я буду рад и не буду мешать.
остальное мало осуществимо.

Цитата

Почему не работает? Блокировать на уровне днс, и мониторить всякиие 8.8.8.8 8.8.4.4 с донесением начальству.

хз почему, еще со времен winxp забил на это - то всякие антитвари ругались то еще что то )
в 10ке попробовал как в доменной так и в простой - не работает

усп поправочка на чистую заработало.
но яндекс видео так не завалит

Это сообщение отредактировал shrec - 21.03.2019 - 19:39

[^]

vaisman

21.03.2019 - 19:31

Статус: Online

Ярила

Регистрация: 10.03.14
Сообщений: 26508

Цитата (NetFix @ 21.03.2019 - 17:53)

Цитата (shrec @ 21.03.2019 - 17:27)

DaBoogieWoog
блин да пофиг что не пашет гугло почта или вацап лагает.

мне яндекс видео нужно зарезать )

и да

Цитата

а просто записать в hosts заглушки вроде
127.0.0.1 youtube.com
127.0.0.1 www.youtube.com
127.0.0.1 facebook.com

это не работает )

Почему не работает? Блокировать на уровне днс, и мониторить всякиие 8.8.8.8 8.8.4.4 с донесением начальству.

Я своим прописываю фильтрующий ДНС (типа скайДНС например) и запрещаю использовать другие ДНС серверы.

[^]

~~DaBoogieWoog~~	21.03.2019 - 19:52 [ показать ] -1
Статус: Offline Балагур Регистрация: 6.05.15 Сообщений: 805	shrec так в чём проблема то? пиши правило для yandex.ru/portal/video и для него action=reject
	[^]

Шизоманьяк	21.03.2019 - 19:58 [ показать ] 0
Статус: Offline *****ц Регистрация: 4.04.14 Сообщений: 2854	щаз помогу, уже яйца пощебуршил
	[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 1819
0 Пользователей:

[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]