+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Домен Windows AD, MikroTik 2011iL и Linux (Ubuntu)

Домен Windows AD, MikroTik 2011iL и Linux (Ubuntu), RouterOS

bdusmanu

Guest

09.05.2014 06:41:00

Всем привет! Сначала извиняюсь за мой плохой английский. Только что поставил 2011iL в роли роутера/фаервола для компании. За 2011iL находится LAN, где у меня домен Windows (AD) и несколько Linux-машин. Маршрутизация и фаервол работают отлично, проблем нет.

Что меня интересует: как на Linux-машине залогировать весь трафик по IP (директор хочет знать, где сотрудники просматривают сайты, кто что скачивает, кто что загружает и так далее).

В DHCP AD все IP зарезервированы по MAC-адресам. Также я заблокировал много сайтов с помощью прозрачного прокси на MikroTik, но https (Facebook) заблокировать не получается (пробовал через L7, блокировал IP Facebook в правилах фаервола).

Есть идеи? Спасибо заранее!

rextended Guest	#2 0 24.05.2014 13:11:00 Однажды правильно написанный для одной записи DNS, можно изменить, чтобы принимать массив в качестве входных данных, вместо того чтобы писать множество условий с "ИЛИ".

kolorasta Guest	#3 0 23.05.2014 20:52:00 Не мог бы ты поделиться скриптом, который собирает IP-адреса Facebook и заносит их в address-list?

patrikg Guest	#4 0 24.05.2014 08:24:00 Google — твой друг http://tinyurl.com/pduxu8o http://aacable.wordpress.com/2014/02/11/blocking-httphttps-facebook-via-automated-address-list/

bdusmanu Guest	#5 0 24.05.2014 12:33:00 Думаю, можно скопировать этот скрипт сколько угодно раз, каждый раз заменяя «facebook» на что угодно, что вам нужно. И запускать по расписанию все скрипты. Просто мысль.

rextended Guest	#6 0 24.05.2014 12:38:00 Со скриптами можно сделать это лучше… Если будет время, перепишу этот бардак…

bdusmanu Guest	#7 0 24.05.2014 12:42:00 Я не разбираюсь в скриптах, поэтому для меня главное было, что это работает.

kolorasta Guest	#8 0 24.05.2014 12:46:00 Копировать скрипт много раз… это решение, но не хорошее решение. Этот код нужно заменить на OR… OR… OR… OR… :if ([:find $cacheName "fbcdn.net"] != 0)

kolorasta

Guest

27.05.2014 02:59:00

Я внес некоторые изменения в приведённый выше скрипт, вот он…

# Скрипт для добавления IP-адресов DNS Facebook
# Syed Jahanzaib / aacable@hotmail.com / модификация от kolorasta
# Исходник скрипта: нет / GOOGLE : )

:log warning "Скрипт запущен... Добавляю IP Facebook DNS в список адресов facebook_dns_ips"
:foreach i in=[/ip dns cache find] do={
:if ([/ip dns cache all get $i type]="A") do={
:local bNew "true";
:local cacheName [/ip dns cache all get $i name];
:if ([:find $cacheName ".fbcdn.net"] != 0 or [:find $cacheName ".facebook.com"] != 0) do={
:local tmpAddress [/ip dns cache get $i address];
:put $tmpAddress;
:if ([/ip firewall address-list find] = "") do={
:log info ("добавлена запись: $[/ip dns cache get $i name] IP $tmpAddress");
/ip firewall address-list add address=$tmpAddress list=facebook_dns_ips comment=$cacheName;
} else={
:foreach j in=[/ip firewall address-list find] do={
:if ([/ip firewall address-list get $j address] = $tmpAddress) do={
:set bNew "false";
}
}
:if ($bNew = "true") do={
:log info ("добавлена запись: $[/ip dns cache get $i name] IP $tmpAddress");
/ip firewall address-list add address=$tmpAddress list=facebook_dns_ips comment=$cacheName;
}
}
}
}
}
:log warning "Скрипт завершён... IP Facebook DNS добавлены в список адресов facebook_dns_ips"

# Скрипт добавления FB DNS IP окончен... сначала я добавил эту строку:
#if ([/ip dns cache all get $i type]="A") do={
потому что надо обрабатывать только записи типа A… без этой строки код зависал при встрече записи AAAA.
Потом я изменил эту строку:
#if ([:find $cacheName ".fbcdn.net"] != 0 or [:find $cacheName ".facebook.com"] != 0) do={
потому что искать просто ключевое слово “facebook” неправильно — например сайты типа “www.facebooklovers.com” или “facebook.mysite.com” тоже попали бы, а это не то, что нужно.
Правильно искать именно “.facebook.com” или “.fbcdn.net” — это настоящие домены Facebook.
Извиняюсь за мой английский.

rextended Guest	#10 0 27.05.2014 17:30:00 А что насчёт facebook.uk, facebook.us, facebook.it и так далее? А просто «facebook.com» без «www.»?

bdusmanu Guest	#11 0 24.05.2014 12:24:00 Спасибо, patrikg! Что-то вроде того, действительно. Я нашёл скрипт в гугле, скопировал как новый скрипт, потом настроил расписание… и всё работает.

kolorasta Guest	#12 0 24.05.2014 12:29:00 # Скрипт для добавления IP-адресов DNS Facebook # Syed Jahanzaib / aacable@hotmail.com # Источник скрипта: нет / GOOGLE :log warning "Скрипт запущен... Добавляем IP-адреса DNS Facebook в список адресов facebook_dns_ips" :foreach i in=[/ip dns cache find] do={ :local bNew "true"; :local cacheName [/ip dns cache all get $i name]; :if ([:find $cacheName "facebook"] != 0) do={ :local tmpAddress [/ip dns cache get $i address]; :put $tmpAddress; :if ( [/ip firewall address-list find ] = "") do={ :log info ("добавлена запись: $[/ip dns cache get $i name] IP $tmpAddress"); /ip firewall address-list add address=$tmpAddress list=facebook_dns_ips comment=$cacheName; } else={ :foreach j in=[/ip firewall address-list find ] do={ :if ( [/ip firewall address-list get $j address] = $tmpAddress ) do={ :set bNew "false"; } } :if ( $bNew = "true" ) do={ :log info ("добавлена запись: $[/ip dns cache get $i name] IP $tmpAddress"); /ip firewall address-list add address=$tmpAddress list=facebook_dns_ips comment=$cacheName; } } } } # Скрипт добавления IP-адресов DNS Facebook завершён... В принципе, скрипт вроде нормальный, но, насколько я вижу, он ищет только ключевое слово "facebook" в нашем DNS-кэше. Этого достаточно, если хотите просто заблокировать Facebook, но если нужно направлять Facebook через определённый шлюз, этого мало. Лучше искать ключевые слова "facebook.com" ИЛИ "facebook.net" ИЛИ "fbcdn.net"... Не знаю, может, что-то ещё надо добавить. Как можно изменить этот скрипт, чтобы он искал несколько ключевых слов, а не только одно? Извините за мой плохой английский.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры