Микротик 951Ui-2HnD сайты (запрет на все кроме.)

@v1lla · Регистрация: 13.12.2018

Author24 — интернет-сервис помощи студентам

Привет.
нужна помощь..
есть два микротика . основной и репитор (со своим DHCP)
проблема такова...
на втором микроике (который находиться на другом этаже) есть офис, всем пользователям которого запрещается лазить на сайтах кроме whatsupp, instagram, youtube. Кстати все они на телефонах.

Кликните здесь для просмотра всего текста

# dec/13/2018 11:37:26 by RouterOS 6.43.7
# software id = GNYE-Q0GK
#
# model = 951Ui-2HnD
# serial number = 000000000000000
/interface bridge
add admin-mac=00000000000 auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=WAN
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=LAN
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=Tuyuk \
supplicant-identity="" wpa-pre-shared-key=tuyuk@2018 wpa2-pre-shared-key=\
tuyuk@2018
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
security-profile=Tuyuk ssid=Tuyuk
/ip pool
add name=dhcp_pool1 ranges=192.168.8.100-192.168.8.250
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-local name=dhcp1
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether3
/ip address
add address=192.168.1.189/24 interface=ether1 network=192.168.1.0
add address=192.168.8.254/24 interface=bridge-local network=192.168.8.0
/ip dhcp-server network
add address=192.168.8.0/24 gateway=192.168.8.254
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=whatsapp.com list=eljur
add address=instagram.com list=eljur
add address=youtube.com list=eljur
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=ether1 protocol=tcp
add action=reject chain=forward disabled=yes dst-address-list=!eljur \
protocol=tcp reject-with=tcp-reset src-address=192.168.8.0/24
add action=drop chain=forward dst-address-list=!eljur protocol=udp \
src-address=192.168.8.0/24
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=\
ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=192.168.1.254
/system clock
set time-zone-name=Asia/Bishkek

почему то блокирует весь трафик.
Помогите разобраться.
Либо есть альтернативные способы запрета всех "сайтов кроме..."
С уважением Nukew

@.None · 13.12.2018, 09:38

это не задача маршрутизатора работать с сайтами
не вдаваясь в подробности, с большой долей вероятности, могу сказать что ничего не получится

запретить некоторые, да можно, и то с оговорками

@romsan · 13.12.2018, 09:40

Первое:
у тебя на бридже прописана подсеть 192.168.8.0/24 сам МТ - 192.168.8.254
Зачем эта запись?

Сообщение от v1lla

/ip dns static
add address=192.168.88.1 name=router.lan

Второе:
я не знаю как ты внес в address list сайты, но уже давно МТ может принимать динамические записи DNS. В частности, я бы прописал блокировку всех ip_адресов принадлежащих, например, whatsapp.com

Микротик 951Ui-2HnD сайты (запрет на все кроме.)

По конфигу это правило отключено

Сообщение от v1lla

add action=reject chain=forward disabled=yes dst-address-list=!eljur \
protocol=tcp reject-with=tcp-reset src-address=192.168.8.0/24

в твоем конфиге нету разрешающих правил для форварда. Поэтому и блочит всё и вся. И, кстати, блокируется только по инпуту
Вот это правило блокирует весь траф по форварду, кроме списка. Однако список сформирован не верно.

Сообщение от v1lla

add action=drop chain=forward dst-address-list=!eljur protocol=udp \
src-address=192.168.8.0/24

А это чё?

Сообщение от v1lla

/ip route
add distance=1 gateway=192.168.1.254

1.254 это чей адрес?

@Miki7777777 · 13.12.2018, 09:42

ну включат они впн-ы на телефонах своих, что дальше делать будете? вылавливать впн-серверы и их блочить? так их не мало) работа на всю жизнь и боюсь не доживете

Сообщение от v1lla

Либо есть альтернативные способы запрета всех "сайтов кроме..."

не пробовал, но должно быть, и снова здравствуйте впн-сервера

@v1lla · 13.12.2018, 09:55 **[ТС]**

add action=reject chain=forward disabled=yes dst-address-list=!eljur \
protocol=tcp reject-with=tcp-reset src-address=192.168.8.0/24

я его отключил что трафик бегал. блокировка по tcp
===================================

add action=drop chain=forward dst-address-list=!eljur protocol=udp \
src-address=192.168.8.0/24

блокировка по udp
===================================

/ip route
add distance=1 gateway=192.168.1.254

это первый микротик. я получаю ip второго через него и он как бы шлюз.

еже ли не сложно можете внести поправки в мой конфиг.
заранее благодарю

@.None · 13.12.2018, 09:58

не в том дело, если "запретить все кроме", nо ВПН не будет работать и анонимайзеры, дело в другом, что разрешать?

уже давно прошли те времена когда контент отдавался с домена сайта на который заходишь

вот ютуб, главная страница и когда играет видео, все домены будете добавлять в разрешенные? а динамические как будете определять? типа r7---sn-4pvgq-n8ve.googlevideo.com? а видео именно оттуда идет

@v1lla · 13.12.2018, 10:08 **[ТС]**

как иными способами организовать это?

@Miki7777777 · 13.12.2018, 10:44

Сообщение от v1lla

как иными способами организовать это?

не уверен пусть меня поправят, но нужен прокси-сервер

@v1lla · 13.12.2018, 11:52 **[ТС]**

прокси на микротике?

@.None · 13.12.2018, 12:58

нет, как отдельный сервер между пользователями и микротиком
или как отдельный сервер, а на микротике делать редирект на прокси (прозрачный прокси)

@Kubuntovod · 01.08.2021, 18:29

Такой же вопрос интересует. Тут дело даже не в микроте или прокси, а в самом алгоритме. Как расслабить только Whatsupp? Серверов у них, как гуталина. И будут новые появляться, скорее всего.

@insect_87 · 01.08.2021, 21:30

Kubuntovod, на ROS без прокси только через адрес-листы: добалением всех серверов whatsapp по доменным именам и/или ip.

@Kubuntovod · 02.08.2021, 04:01

Сообщение от insect_87

Kubuntovod, на ROS без прокси только через адрес-листы: добалением всех серверов whatsapp по доменным именам и/или ip.

А если по портам? Или там тоже анархия?

@insect_87 · 02.08.2021, 08:44

почти все сервисы используют сегодня 443 порт, а все, что выше транспортного уровня, шифруется

остаются только ip назначения или поднимать HTTPS прокси с подменой сертификатов

@romsan · 02.08.2021, 09:39

Сообщение от Kubuntovod

Серверов у них, как гуталина. И будут новые появляться, скорее всего.

угу. Но есть средство выявления этих серверов. Сформировать скрипт, загнать в планировщик и пусть микрот сам пополняет соответствующий address-list

@Kubuntovod · 02.08.2021, 12:14

Сообщение от insect_87

остаются только ip назначения

Как не хотелось делать этот вариант, а придётся.

Сообщение от romsan

Но есть средство выявления этих серверов.

Bash

1	cat ips.txt \| while read IPS ; do nslookup $IPS 8.8.8.8 ; done \| grep -oE "([0-9]{1,3}[\.]){3}[0-9]{1,3}" \| grep -v 8.8.8.8 \| sort \| uniq

У себя на компе пробую, выдаёт скромненько:

Код

34.192.181.12
34.193.38.112
34.194.255.230
34.194.71.217

@romsan · 03.08.2021, 07:21

Сообщение от Kubuntovod

Как не хотелось делать этот вариант, а придётся.

вот тут чуваку мы помогали - решение найдено (касаемо "запрета доступа везде, кроме...")

@Kubuntovod · 03.08.2021, 09:22

Сообщение от romsan

вот тут чуваку мы помогали - решение найдено (касаемо "запрета доступа везде, кроме...")

Ядро решения, как я понимаю, диапазон адресов вацапа. Средство из поста 15 даёт список адресов, которые не используются при звонке. Попробовал. Не прокатило.

Диапазон из решения того чувака тоже не срабатывает.

Если я возьму адреса из текущего соединения, позвонив по вацапу, то это будет ненадёжным вариантом. Адреса сменятся (а они, скорее всего, сменятся) и схема перестанет работать.

@romsan · 03.08.2021, 09:36

Сообщение от Kubuntovod

Средство из поста 15 даёт список адресов, которые не используются при звонке

при чем тут звонок? Вам же именно разрешить whatsapp нужно? Для работы Whatsapp должны быть доступны его сервера по ip-адресам. Всё остальное - дроп!

@Kubuntovod · 03.08.2021, 10:08

Сообщение от romsan

при чем тут звонок?

Звонок по вацапу.

Сообщение от romsan

Вам же именно разрешить whatsapp нужно?

Так точно! И голосом общаться и фоточки слать.

Сообщение от romsan

Для работы Whatsapp должны быть доступны его сервера по ip-адресам. Всё остальное - дроп!

Так и делал. Адреса брал такие:
34.192.181.12
34.193.38.112
34.194.255.230
34.194.71.217

И такие:
31.13.64.51-31.13.95.60

Не контачит.

@v1lla 0 / 0 / 0 Регистрация: 13.12.2018 Сообщений: 4
		1
	Микротик 951Ui-2HnD сайты (запрет на все кроме.) 13.12.2018, 09:09. Показов 8146. Ответов 25 Метки нет (Все метки) Привет. нужна помощь.. есть два микротика . основной и репитор (со своим DHCP) проблема такова... на втором микроике (который находиться на другом этаже) есть офис, всем пользователям которого запрещается лазить на сайтах кроме whatsupp, instagram, youtube. Кстати все они на телефонах. Кликните здесь для просмотра всего текста # dec/13/2018 11:37:26 by RouterOS 6.43.7 # software id = GNYE-Q0GK # # model = 951Ui-2HnD # serial number = 000000000000000 /interface bridge add admin-mac=00000000000 auto-mac=no name=bridge-local /interface ethernet set [ find default-name=ether1 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=WAN set [ find default-name=ether2 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=LAN set [ find default-name=ether3 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full set [ find default-name=ether4 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full set [ find default-name=ether5 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa-psk,wpa2-psk eap-methods="" \ management-protection=allowed mode=dynamic-keys name=Tuyuk \ supplicant-identity="" wpa-pre-shared-key=tuyuk@2018 wpa2-pre-shared-key=\ tuyuk@2018 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \ security-profile=Tuyuk ssid=Tuyuk /ip pool add name=dhcp_pool1 ranges=192.168.8.100-192.168.8.250 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge-local name=dhcp1 /interface bridge port add bridge=bridge-local interface=ether2 add bridge=bridge-local interface=wlan1 add bridge=bridge-local interface=ether3 /ip address add address=192.168.1.189/24 interface=ether1 network=192.168.1.0 add address=192.168.8.254/24 interface=bridge-local network=192.168.8.0 /ip dhcp-server network add address=192.168.8.0/24 gateway=192.168.8.254 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=192.168.88.1 name=router.lan /ip firewall address-list add address=whatsapp.com list=eljur add address=instagram.com list=eljur add address=youtube.com list=eljur /ip firewall filter add action=accept chain=input dst-port=8291 in-interface=ether1 protocol=tcp add action=reject chain=forward disabled=yes dst-address-list=!eljur \ protocol=tcp reject-with=tcp-reset src-address=192.168.8.0/24 add action=drop chain=forward dst-address-list=!eljur protocol=udp \ src-address=192.168.8.0/24 add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established in-interface=\ ether1 add action=accept chain=input connection-state=related in-interface=ether1 add action=drop chain=input in-interface=ether1 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=192.168.1.254 /system clock set time-zone-name=Asia/Bishkek почему то блокирует весь трафик. Помогите разобраться. Либо есть альтернативные способы запрета всех "сайтов кроме..." С уважением Nukew 0

@.None 3998 / 1577 / 310 Регистрация: 23.06.2009 Сообщений: 5,604
	13.12.2018, 09:38	2
	это не задача маршрутизатора работать с сайтами не вдаваясь в подробности, с большой долей вероятности, могу сказать что ничего не получится запретить некоторые, да можно, и то с оговорками 0

@romsan 5091 / 2153 / 461 Регистрация: 17.10.2015 Сообщений: 9,201
	13.12.2018, 09:40	3
	Первое: у тебя на бридже прописана подсеть 192.168.8.0/24 сам МТ - 192.168.8.254 Зачем эта запись? Сообщение от v1lla /ip dns static add address=192.168.88.1 name=router.lan Второе: я не знаю как ты внес в address list сайты, но уже давно МТ может принимать динамические записи DNS. В частности, я бы прописал блокировку всех ip_адресов принадлежащих, например, whatsapp.com По конфигу это правило отключено Сообщение от v1lla add action=reject chain=forward disabled=yes dst-address-list=!eljur \ protocol=tcp reject-with=tcp-reset src-address=192.168.8.0/24 в твоем конфиге нету разрешающих правил для форварда. Поэтому и блочит всё и вся. И, кстати, блокируется только по инпуту Вот это правило блокирует весь траф по форварду, кроме списка. Однако список сформирован не верно. Сообщение от v1lla add action=drop chain=forward dst-address-list=!eljur protocol=udp \ src-address=192.168.8.0/24 А это чё? Сообщение от v1lla /ip route add distance=1 gateway=192.168.1.254 1.254 это чей адрес? 0

@Miki7777777 13 / 11 / 3 Регистрация: 23.05.2014 Сообщений: 109
	13.12.2018, 09:42	4
	ну включат они впн-ы на телефонах своих, что дальше делать будете? вылавливать впн-серверы и их блочить? так их не мало) работа на всю жизнь и боюсь не доживете Сообщение от v1lla Либо есть альтернативные способы запрета всех "сайтов кроме..." не пробовал, но должно быть, и снова здравствуйте впн-сервера 0

@v1lla 0 / 0 / 0 Регистрация: 13.12.2018 Сообщений: 4
	13.12.2018, 09:55 [ТС]	5
	add action=reject chain=forward disabled=yes dst-address-list=!eljur \ protocol=tcp reject-with=tcp-reset src-address=192.168.8.0/24 я его отключил что трафик бегал. блокировка по tcp =================================== add action=drop chain=forward dst-address-list=!eljur protocol=udp \ src-address=192.168.8.0/24 блокировка по udp =================================== /ip route add distance=1 gateway=192.168.1.254 это первый микротик. я получаю ip второго через него и он как бы шлюз. еже ли не сложно можете внести поправки в мой конфиг. заранее благодарю 0

@.None 3998 / 1577 / 310 Регистрация: 23.06.2009 Сообщений: 5,604
	13.12.2018, 09:58	6
	не в том дело, если "запретить все кроме", nо ВПН не будет работать и анонимайзеры, дело в другом, что разрешать? уже давно прошли те времена когда контент отдавался с домена сайта на который заходишь вот ютуб, главная страница и когда играет видео, все домены будете добавлять в разрешенные? а динамические как будете определять? типа r7---sn-4pvgq-n8ve.googlevideo.com? а видео именно оттуда идет Миниатюры 0

@v1lla 0 / 0 / 0 Регистрация: 13.12.2018 Сообщений: 4
	13.12.2018, 10:08 [ТС]	7
	как иными способами организовать это? 0

@Miki7777777 13 / 11 / 3 Регистрация: 23.05.2014 Сообщений: 109
	13.12.2018, 10:44	8
	Сообщение от v1lla как иными способами организовать это? не уверен пусть меня поправят, но нужен прокси-сервер 0

@v1lla 0 / 0 / 0 Регистрация: 13.12.2018 Сообщений: 4
	13.12.2018, 11:52 [ТС]	9
	прокси на микротике? 0

@.None 3998 / 1577 / 310 Регистрация: 23.06.2009 Сообщений: 5,604
	13.12.2018, 12:58	10
	нет, как отдельный сервер между пользователями и микротиком или как отдельный сервер, а на микротике делать редирект на прокси (прозрачный прокси) 1

	03.08.2021, 10:08

@Kubuntovod 3195 / 850 / 194 Регистрация: 14.01.2013 Сообщений: 4,068
	01.08.2021, 18:29	11
	Такой же вопрос интересует. Тут дело даже не в микроте или прокси, а в самом алгоритме. Как расслабить только Whatsupp? Серверов у них, как гуталина. И будут новые появляться, скорее всего. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	01.08.2021, 21:30	12
	Kubuntovod, на ROS без прокси только через адрес-листы: добалением всех серверов whatsapp по доменным именам и/или ip. 0

@Kubuntovod 3195 / 850 / 194 Регистрация: 14.01.2013 Сообщений: 4,068
	02.08.2021, 04:01	13
	Сообщение от insect_87 Kubuntovod, на ROS без прокси только через адрес-листы: добалением всех серверов whatsapp по доменным именам и/или ip. А если по портам? Или там тоже анархия? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	02.08.2021, 08:44	14
	почти все сервисы используют сегодня 443 порт, а все, что выше транспортного уровня, шифруется остаются только ip назначения или поднимать HTTPS прокси с подменой сертификатов 0

@romsan 5091 / 2153 / 461 Регистрация: 17.10.2015 Сообщений: 9,201
	02.08.2021, 09:39	15
	Сообщение от Kubuntovod Серверов у них, как гуталина. И будут новые появляться, скорее всего. угу. Но есть средство выявления этих серверов. Сформировать скрипт, загнать в планировщик и пусть микрот сам пополняет соответствующий address-list 1

@romsan 5091 / 2153 / 461 Регистрация: 17.10.2015 Сообщений: 9,201
	03.08.2021, 07:21	17
	Сообщение от Kubuntovod Как не хотелось делать этот вариант, а придётся. вот тут чуваку мы помогали - решение найдено (касаемо "запрета доступа везде, кроме...") 0

@Kubuntovod 3195 / 850 / 194 Регистрация: 14.01.2013 Сообщений: 4,068
	03.08.2021, 09:22	18
	Сообщение от romsan вот тут чуваку мы помогали - решение найдено (касаемо "запрета доступа везде, кроме...") Ядро решения, как я понимаю, диапазон адресов вацапа. Средство из поста 15 даёт список адресов, которые не используются при звонке. Попробовал. Не прокатило. Диапазон из решения того чувака тоже не срабатывает. Если я возьму адреса из текущего соединения, позвонив по вацапу, то это будет ненадёжным вариантом. Адреса сменятся (а они, скорее всего, сменятся) и схема перестанет работать. 0

@romsan 5091 / 2153 / 461 Регистрация: 17.10.2015 Сообщений: 9,201
	03.08.2021, 09:36	19
	Сообщение от Kubuntovod Средство из поста 15 даёт список адресов, которые не используются при звонке при чем тут звонок? Вам же именно разрешить whatsapp нужно? Для работы Whatsapp должны быть доступны его сервера по ip-адресам. Всё остальное - дроп! 0

@Kubuntovod 3195 / 850 / 194 Регистрация: 14.01.2013 Сообщений: 4,068
	03.08.2021, 10:08	20
	Сообщение от romsan при чем тут звонок? Звонок по вацапу. Сообщение от romsan Вам же именно разрешить whatsapp нужно? Так точно! И голосом общаться и фоточки слать. Сообщение от romsan Для работы Whatsapp должны быть доступны его сервера по ip-адресам. Всё остальное - дроп! Так и делал. Адреса брал такие: 34.192.181.12 34.193.38.112 34.194.255.230 34.194.71.217 И такие: 31.13.64.51-31.13.95.60 Не контачит. 0