Как заблокировать приложения Youtube и Facebook на Android через роутер Mikrotik

Я использовал это регулярное выражение, и оно сработало, чтобы заблокировать приложение YouTube на телефонах, планшетах, а также в браузерах на компьютерах. Регулярное выражение для копирования: ^.+(youtube.com|www.youtube.com|m.youtube.com|ytimg.com|s.ytimg.com|ytimg.l.google.com|youtube.l.google.com|i.google.com|googlevideo.com|youtu.be).*$ Также я записал видео, где показываю, как сделать настройку, если хотите посмотреть: https://www.youtube.com/watch?v=6oAiUGAsfEY

Если это для корпоративной сети, вам стоит установить прозрачный HTTPS-прокси с собственным корневым сертификатом на клиентских устройствах, чтобы можно было просматривать реальный HTTP-трафик и применять политику доступа в интернет именно там. Есть множество таких устройств, которые можно использовать для этого, а возиться с блокировкой DNS и IP-диапазонов — не самое надёжное решение.

Давайте рассмотрим обычный HTTPS поверх TCP. [Chrome и Android используют QUIC для безопасной передачи данных, это проприетарная технология Google, основанная на UDP]. Хотя сам HTTPS невозможно перехватить с помощью фильтров седьмого уровня, можно нарушить соединение до полной договорённости SSL. Обмен сертификатами происходит «в открытом виде», поэтому вы можете использовать слой 7, чтобы сопоставить общее имя сертификата или его серийный номер, а затем выполнить свои действия — пометить, заблокировать или отвергнуть соединение. Это не так «точечно», как при совпадении по URL, поскольку один и тот же сертификат может использоваться на разных сайтах и сервисах. И если вы заблокируете его, то заблокируете доступ ко всем этим ресурсам. Теоретически.

«L7 matcher собирает первые 10 пакетов соединения или первые 2 КБ данных и ищет в них шаблон.» Не совсем понятно, как это интерпретировать, но в моём случае (см. скриншот) сертификат передаётся в пакетах 6,7,8,9, что попадает в этот диапазон, но лимит в 2 КБ кажется недостаточным.

В этом случае можно сопоставить серийный номер сертификата и общее имя. Или же можно сопоставить по сообщению TLS client hello (пакет №5), где имя сервера передаётся в открытом виде, и заблокировать его.

Сейчас пытаюсь собрать всю цепочку, но пока безуспешно.

К сожалению, мое счастье длилось недолго... Скрипт работает, но как только он запускается, загрузка CPU сразу же поднимается до 100%... Кто-нибудь может посмотреть и сказать что-то дельное?  
:foreach i in=[/ip dns cache find] do={
   :local bNew "true";  
   :local cacheName [/ip dns cache all get $i name];
#    :put $cacheName;  

   :if ([:find $cacheName "ytimg"] != 0) do={

       :local tmpAddress [/ip dns cache get $i address];
# :put $tmpAddress;  

# если список адресов пустой, не проверять  
       :if ( [/ip firewall address-list find list="restricted" ] = "") do={
           :log info ("added entry: $[/ip dns cache get $i name] IP $tmpAddress");
           /ip firewall address-list add address=$tmpAddress list=restricted comment=$cacheName;  
       } else={  
           :foreach j in=[/ip firewall address-list find list="restricted"] do={
               :if ( [/ip firewall address-list get $j address] = $tmpAddress ) do={
                   :set bNew "false";  
               }  
           }  
           :if ( $bNew = "true" ) do={  
               :log info ("added entry: $[/ip dns cache get $i name] IP $tmpAddress");
               /ip firewall address-list add address=$tmpAddress list=restricted comment=$cacheName;  
           }  
       }  
   }  
}  
ИТОГ: я стер строки, которые начинались с “#”, и это помогло...

Вряд ли когда-нибудь появится поддержка регулярных выражений в этой функции из-за того, как она устроена. Как только вы указываете hostname в списке адресов, роутер сразу же выполняет DNS-запрос для этого имени, и все IP-адреса, которые возвращает DNS-сервер, добавляются в список как динамические записи с таймаутом, равным TTL, полученному от DNS. Другими словами, IP-адреса не могут оставаться в списке дольше, чем живёт запись в DNS… Ну, с этим всё понятно, но почему здесь нельзя использовать регулярные выражения? Уже много лет — как минимум с тех пор, как я в этом деле (с 90-х) — считается хорошей практикой не давать никому возможность читать всю вашу зону целиком. Короче, DNS похож на детскую игру “Go Fish”: клиенты могут спрашивать любые имена, а DNS-сервер отвечает, если знает, или говорит “не найдено” (то есть, “иди рыбачь”). Ты не можешь просто сказать серверу “дай мне все твои карты”. Нельзя попросить DNS-сервер — дай все имена, которые у тебя есть и которые заканчиваются на google.com. Когда вы задаёте регулярное выражение, по сути, вы пытаетесь сделать именно это… Ещё одна сложность в том, что обратный DNS не обязательно совпадает с прямым. Поскольку таблица фильтра пакетов работает с пакетами и IP-адресами (а не с именами), она не знает, какое имя соответствует тому или иному IP-адресу. Возьмите, к примеру, известный публичный DNS-сервер Google — 8.8.8.8… Я могу добавить в свой DNS-сервер хост “silly.dns.server.example.com” и разрешить его в 8.8.8.8. Как фаервол должен понять, что я набрал “ping silly.dns.server.example.com”, чтобы сгенерировать ICMP-запросы именно к 8.8.8.8? Вариант, который мог бы сработать — это “подслушивать” DNS-трафик и, если в ответах встречаются имена, подходящие под ваше определение, добавлять IP-адреса из этих ответов в список адресов… Но этому можно легко помешать с помощью умных клиентов — если они знают, какие хосты будут использоваться, и какие IP им соответствуют, они могут просто добавить эти имена в локальный hosts-файл и обойти DNS-подслушивание. Или пользоваться DNSCrypt, VPN и прочими штуками… В итоге блокировка исходящей активности пользователей — это бесконечная битва. Как сказала принцесса Лея губернатору Таркину: “Чем сильнее сжимаешь хватку, тем больше звёздных систем скользит у тебя из рук.”