+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Блок Layer 7 в Facebook.

Блок Layer 7 в Facebook., RouterOS

xMikes04

Guest

02.04.2013 11:13:00

Привет, ребята! В нашей компании хотим заблокировать страницу Facebook. Поэтому решил использовать протокол Layer 7. Ввел ^(. )(facebook)(. )$ в качестве значения regexp и настроил эти параметры в фаерволе:

/ip firewall layer7-protocol add name=“Deny worktime” regexp=“^(. )(facebook)(. )$”
/ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout= 10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter add action=accept chain=forward disabled=no layer7-protocol=“Deny worktime” src-address=192.168.5.1-192.168.5.49
add action=drop chain=forward disabled=yes layer7-protocol=“Deny worktime” src-address=192.168.5.0/24 time=8h-12h,mon,tue,wed,thu,fri
add action=drop chain=forward disabled=yes layer7-protocol=“Deny worktime” src-address=192.168.5.0/24 time=13h-17h,mon,tue,wed,thu,fri
add action=drop chain=forward disabled=no dst-port=443 layer7-protocol= “Deny worktime” protocol=tcp src-address=0.0.0.0/0 src-port=“”
add action=drop chain=forward disabled=no dst-port=80 layer7-protocol= “Deny worktime” protocol=tcp src-address=0.0.0.0/0 src-port=“”

Правило работает отлично, НО блокирует больше страниц, чем Facebook. И некоторые страницы доступны в Chrome, но не в IE или Firefox. Другие доступны в IE, но не в Chrome… и так далее… Facebook заблокирован во всех браузерах. Какие есть идеи??

nysokheng Guest	#2 0 23.08.2013 04:38:00 Привет, cbrown. Я проверил с твоими правилами, и всё работает. Но теперь я хочу заблокировать Youtube, используя dst-адрес. Но какой IP мне использовать? Я не могу заставить это работать.

martinclaro

Guest

28.09.2013 03:18:00

Можно также обновить эти правила, используя whois в Linux/Unix/mac, выполнив следующие команды: echo "/ip firewall filter"; whois -h whois.radb.net – ‘-i origin AS32934’ | grep ‘^route:’ | sort -n | uniq | awk ‘{print "add action=drop chain=forward comment=Facebook dst-address=”$2}’ echo "/ipv6 firewall filter"; whois -h whois.radb.net – ‘-i origin AS32934’ | grep ‘^route6:’ | sort -n | uniq | awk ‘{print "add action=drop chain=forward comment=Facebook dst-address=”$2}’ Можно изменить команду awk, чтобы она соответствовала вашим потребностям.

deejayq Guest	#4 0 30.09.2013 07:12:00 xMikes04, твой regex layer7-protocol в порядке, но его стоит использовать в запросах DNS. Отклоняй DNS-пакеты на любой сервер с dst-port 53, которые также попали под layer7-protocol. fbcdn.net тоже нужно заблокировать.

saintofinternet

Guest

02.10.2013 13:35:00

Хочу разрешить следующее: gmail.com (только для почты), yahoo.com (только для почты), 100.30.20.10, gregsowell.com. Порты: 995, 465, 25, 110, и порты: 8080, 8000 — только для внутреннего IP 192.168.1.101. У меня сейчас ещё работает L2TP+IPSEC VPN на том же роутере… всё остальное изнутри сети должно быть заблокировано. ETHER1 → WAN с фиксированным IP, ETHER2 to ETHER5 → LAN, Bridged Ports (IP RANGE: 192.168.1.150 - 192.168.1.250). MASQUERADE → ENABLED. Я уже совсем запутался со всеми этими условиями... любая помощь будет очень кстати... пожалуйста, помогите!!! Перехожу с чистого беспроводного Mikrotik на файрволы Mikrotik как дополнительную услугу… поэтому возникают трудности.

jaykay2342

Guest

15.10.2013 17:27:00

Звучит как сценарий корпоративной ситуации. В таких случаях я рекомендую разрешать HTTP-трафик только через прокси-сервер. Гораздо проще делать фильтрацию на основе URL. Например, чтобы блокировать/разрешать только отдельные части сервисов Google, всё равно нужно перехватывать зашифрованное HTTPS-соединение. Некоторые прокси умеют это делать, но в этом случае клиенты должны установить и доверять сертификату прокси, иначе браузеры будут жаловаться и показывать предупреждение — и это абсолютно верно, ведь технически вы совершаете "атаку" типа "человек посередине".

ithink

Guest

24.02.2014 14:32:00

Я хочу разрешить следующее: gmail.com (только для почты), yahoo.com (только для почты) или любой другой сайт с https-портом 443.

1;;; WebProxy chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address=192.168.0.0/25
dst-port=80,443

Все https заблокированы, и я хочу разрешить два исключения: одно для входа в аккаунт Gmail и второе для входа в другой https://aaaaa.xxxx… Возможно ли это, потому что я проводил тесты доступа через веб-прокси, но ничего не получилось.

RazorMK Guest	#8 0 23.01.2015 08:00:00 Я добавил эти [непонятный текст], и теперь это заблокировано, но я хочу сделать исключение для некоторых IP-адресов в сети. Где я могу указать адреса, чтобы можно было зайти на Facebook?

CyberTod

Guest

23.01.2015 08:05:00

Добавь ещё одно правило для любого IP, которому нужен доступ к Facebook, над правилами с `add action=accept chain=forward src-address=`. Но это правило позволит им всё, так что если у тебя есть какие-то другие ограничения, нужно продумать порядок их расположения.

pfalzon

Guest

#10

11.02.2015 17:52:00

Привет всем!

Пытаюсь заблокировать Facebook на нашем MikroTik роутере, но пока что никак не получается. Попробовал практически всё: от блокировки отдельных IP-адресов до изменения DNS на openDNS (который был настроен для блокировки социальных сетей), до использования метода Layer7. Ничего не помогает. Честно говоря, немного потерялся, и я довольно нов в MikroTik. У нас сейчас настроено две WLAN сети: одна корпоративная, а другая - гостевая. Гостевая сеть находится за файерволом, чтобы никто не мог получить доступ к корпоративной LAN.

loveman Guest	#11 0 25.09.2015 20:48:00 Привет, мне нужно заблокировать кого-то в Viber. У кого-нибудь есть какие-нибудь идеи?

Akaii112

Guest

#12

26.09.2015 16:27:00

Ну, ты можешь использовать Squid, чтобы блокировать Facebook, но тебе понадобится модифицированная версия Squid для этого, и тебе нужен будет девайс, который её сможет запускать. Но как только всё настроено и работает, всё идёт как по маслу. DNS-чёрные списки и Layer7 ненадежны, поэтому я использую SSL-перехват, чтобы блокировать Facebook на работе. Я настроил два правила перенаправления HTTP/HTTPS на Routerboard, которые управляются по расписанию, и настроил фильтрацию на Squid-боксе на основе ACL, которая контролирует доступ. Но SSL-перехват, даже для Facebook, во многих случаях незаконный, поэтому проконсультируйся с юристами в твоей компании.

dunga

Guest

#13

03.11.2015 14:45:00

Пожалуйста, подскажи, как можно настроить вот такое вот для нашей сети. Хотим заблокировать Facebook для некоторых сотрудников с 9 утра (с 9:00 до 15:00), но разрешить доступ для определённых систем, используя их MAC-адреса, чтобы исключить их из блокировки Facebook. Нужны шаги и возможный способ реализации. Спасибо.

chechito Guest	#14 0 03.11.2015 15:07:00 Я использую OpenDNS.

loveman Guest	#15 0 03.11.2015 17:43:00 Серьезно думаешь, что можно заблокировать всё подряд с помощью OpenDNS?

chechito Guest	#16 0 03.11.2015 18:43:00 Использование OpenDNS — это окольный способ блокировать доступ к некоторым сайтам, избегая разрешения DNS для этих сайтов.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры