Блокування сайту в mikrotik

1. Як швидко закрити доступ до сайту
2. Чорний список сайтів для фільтрації
3. Заборонити соціальні мережі в mikrotik
4. Блокування реклами засобами mikrotik
5. висновок
6. Допомогла стаття? Є можливість віддячити автора
7. Онлайн курси по Mikrotik

Популярна серія бюджетних маршрутизаторів з Латвії на базі RouterOS надає користувачам широкі можливості по налаштуванню. Сьогодні я докладно розгляну можливості mikrotik по блокуванню сайтів, реклами, соціальних мереж, по створенню списку заборон на доступ. Всі ці кошти присутні в роутерах з коробки і не вимагають спеціальних знань для настройки, окрім стандартних засобів управління.

Якщо у вас є бажання навчитися працювати з роутерами мікротік і стати фахівцем в цій галузі, рекомендую за програмою, заснованої на інформації з офіційного курсу MikroTik Certified Network Associate. Курс стоїть, всі подробиці читайте за посиланням.

Як швидко закрити доступ до сайту

Почнемо з самого простого. У нас є роутер Mikrotik, утиліта winbox і бажання конкретного користувача встановити заборону на відвідування певного сайту. Підключаємося до роутера і йдемо в розділ IP -> Firewall, відкриваємо закладку Filter Rules:

Натискаємо на + і додаємо нове правило блокування сайту:

На першій вкладці General заповнюємо:

1. Вказуємо ланцюжок Forward.
2. Вказуємо адресу користувача, якому буде закритий доступ до сайту.
3. Вибираємо протокол TCP.

Далі переходимо на вкладку Advanced:

В поле Content вказуємо адресу сайту, який потрібно заблокувати, наприклад vk.com. Переходимо на вкладку Action:

Тут виконуємо наступні дії:

1. В поле Action вибираємо reject.
2. У пункті Reject With вказуємо tcp reset.
3. Натискаємо OK.

На цьому основна настройка закінчена. В даний момент правило по фільтрації сайту вже працює. Ми за допомогою стандартних засобів mikrotik змогли заблокувати vk.com. Це неважко перевірити на клієнті. При спробі відкрити адресу сайту популярної соц. мережі він отримає наступне повідомлення в браузері chrome:

В даному випадку ми в ручному режимі зробили блокування сайту конкретного користувача. Якщо у вас таких сайтів і користувачів багато, процес треба по-можливості автоматизувати.

Чорний список сайтів для фільтрації

Давайте створимо окремо список сайтів і вкажемо його в правилі, щоб не створювати заборона для кожного імені окремо. Зробити це не складно. Для цього знову йдемо в розділ IP -> Firewall, відкриваємо вкладку Layer7 Protocols і натискаємо «+» для додавання списку:

В поле regexp необхідно ввести регулярний вираз для організації списку сайтів. Я сам особисто не вмію складати правильно регулярні вирази, тому доводиться їх шукати в інтернеті. Переважна більшість регулярок, які я знайшов, у мене не заробили. Наводжу вам список відеохостингу для блокування у вигляді регулярного виразу, яке заробило особисто у мене:

^. + (Youtube | rutube | smotri). * $

Список можна розширити, додаючи значення в дужках через знак вертикальної палиці, що означає логічне «або».

Після складання списку, включаємо його в правило. Як створити правило я вже розповів в першій частині статті. В даному випадку відмінність буде лише в одному пункті:

Замість поля Content вибираємо назву нашого списку для блокування video в поле Layer7 Protocol.

Якщо у вас налаштований firewall на мікротіке і в ньому присутні якісь правила, то поточне правило блокування потрібно правильно розмістити в списку, щоб воно працювало. Наприклад, у мене є матеріал на тему настройки firewall . Там є правила:

Дозволяємо встановлені підключення add chain = input action = accept connection-state = established add chain = forward action = accept connection-state = established

Поточне правило блокування списку сайту на основі Layer7 Protocol має стояти вище цього правила, інакше воно не буде працювати. Я не до кінця зрозумів, чому, але я провів досить багато тестів, щоб переконатися, що його реально треба ставити вище. Ну і, зрозуміло, воно повинно стояти вище правила, що дозволяє з'єднання forward з локальної мережі.

У цьому правилі блокування в поле Src.Address ви можете вказати конкретний ip користувача, можете вказати всю підмережу, або взагалі залишити поле порожнім для заборони виходу на закриті сайти всьому транзитному трафіку маршрутизатора, в незалежності від його джерела.

Ось як у мене виглядає список моїх правил на фаєрволі з урахуванням доданого правила блокування:

Тут я блокую доступ c тестового ip адреси. Всі інші правила схожі на ті, що я описував в своїй статті з налаштування простого фаервола на мікротіке, посилання на яку я наводив вище.

Ви можете включити логирование заблокованих з'єднань з сайтами зі списку на вкладці Action самого правила:

Mikrotik буде генерувати подібні логи:

Ці записи ви можете перенаправити на віддалений сервер для логів , Щоб потім аналізувати статистику спрацьовування правила. Для зручності, ці правила можна розділити по сайтам, по користувачам і т.д. Загалом, поле для контролю роботи правила велике.

Заборонити соціальні мережі в mikrotik

Так як ми навчилися складати списки для блокування сайтів, на основі цієї інформації легко закрити доступ в соціальні мережі одним правилом. Для цього як і раніше додаємо регулярний вираз зі списком соціальних мереж:

Текст регулярки:

^. + (Vk.com | vkontakte | odnoklassniki | odnoklasniki | facebook | ok.ru). * $

Далі створюємо правило, як ми це робили вище і вибираємо список, який тільки що додали:

Вибираємо як і раніше адреси джерел для блокування і додаємо правило. Все, цього достатньо для того, щоб заблокувати соціальні мережі у користувачів. А включивши логи, зможете ще і стежити за тим, хто час від часу намагається в них зайти.

Блокування реклами засобами mikrotik

За допомогою вивченого кошти по обмеженню доступу до сайтів досить просто блокувати рекламу. Для прикладу розглянемо варіант з блокування реклами в Skype. Так як я знаю адреси серверів, куди скайп лізе за рекламою, я можу його заблокувати в mikrotik. У мене є список:

rad.msn.com apps.skype.com vortex-win.data.microsoft.com settings-win.data.microsoft.com

Це адреси, звідки завантажується реклама. Списки ці можуть змінюватися час від часу, потрібно періодично перевіряти та оновлювати. Самому підготувати список рекламних адрес для конкретного сервісу можна, наприклад, за допомогою налаштування власного dns сервера і включення логування запитів.

Далі як завжди створюємо regexp вираз для списку адрес:

^. + (Rad.msn.com | apps.skype.com | vortex-win.data.microsoft.com | settings-win.data.microsoft.com). * $

Додаємо нове правило, підключаємо до нього список, створений раніше і насолоджуємося роботою скайпу без реклами.

висновок

Матеріалу в інтернеті по Мікротіку багато. Я сам поки розбирався в даному питанні перечитав купу статей. І всі вони якісь недороблені. Або питання слабо розкритий, або щось взагалі не працює. Не знаю, в чому причина такої ситуації. Можливо щось змінюється в налаштуваннях і інформація стає неактуальною. Відразу у мене не запрацювала фільтрація на основі Layer7 Protocols, довелося повозитися, покопатися в regexp, в правилах, в їх настроях. Сподіваюся мій матеріал трохи виправить цю ситуацію.

Буду радий будь-яких зауважень до статті, так як сам вчуся в процесі написання. У своїй роботі особисто я не використовую будь-які обмеження доступу до сайтів, так як вважаю це марною справою. Але багато хто користується, тому розбиратися в цьому питанні вважаю корисною справою.

Допомогла стаття? Є можливість віддячити автора

Рекомендую корисні матеріали за схожою тематикою:

Онлайн курси по Mikrotik

Якщо у вас є бажання навчитися працювати з роутерами мікротік і стати фахівцем в цій галузі, рекомендую пройти курси за програмою, заснованої на інформації з офіційного курсу MikroTik Certified Network Associate. Крім офіційної програми, в курсах будуть лабораторні роботи, в яких ви на практиці зможете перевірити і закріпити отримані знання. Всі подробиці на сайті. Вартість навчання досить демократична, хороша можливість отримати нові знання в актуальній на сьогоднішній день предметної області. Особливості курсів:

• Знання, орієнтовані на практику;
• Реальні ситуації і завдання;
• Найкраще з міжнародних програм.