7 layer filter mikrotik: Mikrotik RouterOS, использование Layer7 протокола

Содержание

Mikrotik RouterOS, использование Layer7 протокола

Всем известно, что Mikrotik RouterOS, это достаточно гибкая, сетевая операционная система с обширным функционалом и достаточно большим количеством разнообразных функций и протоколов. Одной из таких функций, относящихся к разделу Firewall, является Layer7 protocol. И она не заслужена обделена вниманием, о ней мало информации и даже не все знают зачем она. Вот именно этот пробел, мы сегодня и постараемся заполнить, ведь данная особенность, открывает достаточно широкие возможности по определению вида трафика и его последующей сортировке.

По своей сути, Layer7 protocol, является методом поиска совпадений по регулярным выражения в ICMP, TCP и UDP потоках. И работает следующим образом: с каждого соединения, берутся первые 10 пакетов или первые 2KB, в которых производится поиск совпадений. Таким образом, мы можем находить тот или иной вид трафика, и дальше обрабатывать его в Firewall — запрещать, перенаправлять, маркировать соединения и прочее.

Чаще всего, L7 используют для блокировки тех или иных сайтов или же работы тех или иных программ. Рассмотрим например блокировку сайтов социальных сетей при помощи данной функции.

Предположим, что нам нужно заблокировать посещение сайтов ВКонтакте, Одноклассники, Facebook и Twitter. Для этого мы сперва создаем регулярное выражение вида:

 

^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com|twitter.com).*$

 

Подключаемся к нашему маршрутизатору и переходим в раздел IP — Firewall, где открываем вкладку Layer7 Protocol и добавляем новую запись, кнопкой +.

Где в поле Name, вписываем имя новой записи, а в поле Regexp, вставляем наше регулярное выражение.

И теперь, на его основе, мы можем создавать правила Firewall, на соответствующей вкладке.

Здесь мы добавляем правило, со следующими параметрами: Chain — forward, Layer7 Protocol — выбираем созданную нами ранее запись, и Action — drop.

И теперь, если в заголовке запроса, будет упоминаться тот или иной URL, перечисленный в регулярном выражении, этот запрос будет отклонен.

Однако, спектр возможного применения Layer7 protocol, не ограничивается только запретами. Можно и наоборот, дать приоритет тому или иному виду соединений, определенных при помощи этой функции. Например, определить телефонное соединение по протоколу SIP, при помощи регулярного выражения вида:

 

^(invite|register|cancel|message|subscribe|notify) sip[x09-x0d -~]*sip/[0-2].[0-9]

После чего, пометить все пакеты данного типа при помощи правила на вкладке Mangle.

И создать правило, в соответствии с которым, данным пакетам будет предоставлена приоритетная ширина канала в 25Mbit/s в разделе Queues.

В целом, Layer7 protocol — это достаточно интересны инструмент, предоставляющий вам широкие возможности по управлению потоками трафика в вашей сети. Освоив который, можно производить самые разнообразнейшие манипуляции с пакетами и соединениями. Однако, в конце, хочется предупредить, что большое число L7 записей, может привести к высокой нагрузке на маршрутизатор. Поэтому не стоит злоупотреблять данной функцией.

 

Что такое протокол седьмого уровня в маршрутизаторах Mikrotik :: Настройка оборудования Mikrotik :: Настройка оборудования

Рейтинг

Оценка: 5Голосов: 7Комментарии: 7

Есть в маршрутизаторах Mikrotik такая функция, как layer7-protocol, если кто не знает, находится она в меню IP Firewall, где есть соответствующая вкладка.

Рис.1. Меню IP FireWall. Вкладка Layer7 protocol

 

Layer7 protocol – это метод поиска по определенным параметрам в ICMP/TCP/UDP потоках. И при помощи правильно составленных регулярных выражениях посредством этого протокола можно очень гибко управлять всем проходящим через маршрутизатор трафиком. В частности, данная опция получает первые 10 пакетов или 2KB каждого установленного соединения и ищет совпадения по регулярному выражению. Если совпадений нет, то дальнейший поиск прекращается и соединение, считается неизвестным. Если же совпадения находятся, то в дальнейшем на вкладах Filter Rules, NAT или Mangle можно создавать цепочки правил с необходимыми действиями, которые вы хотели бы совершить над данным типом трафика.

Внимание! Чрезмерное злоупотребление данной функцией и большое число записей layer7-protocol может привести к серьезной нагрузке на устройство, так как все без исключения потоки трафика обрабатываются.

Область применения L7 протокола крайне велика. Приведем пример, в котором определим соединение по SSH протоколу. Для этого мы создадим новую запись, которая будет содержать такое регулярное выражение: ^ssh-[12]\.[0-9]

Сделать это можно через командную строку, как показано на изображении.

Рис.2. Результат командной строки – ip firewall layer7 protocol

 

Или же, через GUI в меню IP Firewall на вкладке Layer7 Protocol.

Рис.3. GUI, в меню Firewall 7 Protocol

 

После чего на вкладке Filter Rules можно создать правила Firewall, в котором допустим, запретить данный вид трафика входящего в маршрутизатор в цепочке input.

Рис.4. Создаём правила Firewall в цепочке input

 

И при попытке подключиться к Mikrotik по этому протоколу, Вы увидите, что пакеты блокируются.

Рис.5. Пакет блокируется при подключении к Mikrotik

 

Похожим образом можно определять, помечать, фильтровать и сортировать практически любой вид трафика. Достаточно только правильно определить его. Для этого уже написан целый ряд регулярных выражений. Некоторые из них мы приводим в таблице ниже:

AIM: ^(\*[\x01\x02].*\x03\x0b|\*\x01.?.?.?.?\x01)|flapon|toc_signon.*0x
Bittorrent: ^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get/announce\?info_hash=|get /client/bitcomet/|GET/data\?fid=)|d1:ad2:id20:|\x08’7P\)[RP]
Counterstrike Source: ^\xff\xff\xff\xff.*cstrikeCounter-Strike
DHCP: ^[\x01\x02][\x01- ]\x06.*c\x82sc
DNS: ^.?.?.?.?[\x01\x02].?.?.?.?.?.?[\x01-?][a-z0-9][\x01-?a-z]*[\x02-\x06][a-z][a-z][fglmoprstuvz]?[aeop]?(um)?[\x01-\x10\x1c][\x01\x03\x04\xFF]
eDonkey: ^[\xc5\xd4\xe3-\xe5].?.?.?.?([\x01\x02\x05\x14\x15\x16\x18\x19\x1a\x1b\x1c\x20\x21\x32\x33\x34\x35\x36\x38\x40\x41\x42\x43\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58[\x60\x81\x82\x90\x91\x93\x96\x97\x98\x99\x9a\x9b\x9c\x9e\xa0\xa1\xa2\xa3\xa4]|\x59…………….? [ -~]|\x96….$)
FTP: ^220[\x09-\x0d -~]*ftp
HTTP: http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d –~]*(connection:|content-type:|content-length:|date:)|post [\x09-\x0d -~]* http/[01]\.[019]
IRC: ^(nick[\x09-\x0d -~]*user[\x09-\x0d -~]*:|user[\x09-\x0d –~]*:[\x02-\x0d –~]*nick[\x09-\x0d -~]*\x0d\x0a)
Jabber: <stream:stream[\x09-\x0d ][ -~]*[\x09-\x0d ]xmlns=[‘»]jabber
NTP: ^([\x13\x1b\x23\xd3\xdb\xe3]|[\x14\x1c$]…….?.?.?.?.?.?.?.?.?[\xc6-\xff])
POP3: ^(\+ok .*pop)
SIP: ^(invite|register|cancel|message|subscribe|notify)sip[\x09-\x0d -~]*sip/[0-2]\.[0-9]
Samba: \xffsmb[\x72\x25]
SMTP: ^220[\x09-\x0d -~]* (e?smtp|simple mail)userspacepattern=^220[\x09-\x0d -~]* (E?SMTP|[Ss]imple [Mm]ail)userspace flags=REG_NOSUB REG_EXTENDED
SNMP: ^\x02\x01\x04.+([\xa0-\xa3]\x02[\x01-x04].?.?.?.?\x02\x01.?\x02\x01.?\x30|\xa4\x06.+\x40\x04.?.?.?.?\x02\x01.?\x02\x01.?\x43)
Socks: \x05[\x01-\x08]*\x05[\x01-\x08]?.*\x05[\x01-\x03][\x01\x03].*\x05[\x01-\x08]?[\x01\x03]
SSH: ^ssh-[12]\.[0-9]
SSL: ^(.?.?\x16\x03.*\x16\x03|.?.?\x01\x03\x01?.*\x0b)
Telnet: ^\xff[\xfb-\xfe].\xff[\xfb-\xfe].\xff[\xfb-\xfe]
Tor: TOR1.*<identity>

   Таблица регулярных выражений

Так же можно самостоятельно составить регулярное выражение, допустим, для определения соединения с сайтами социальных сетей. Такой Regexp будет выглядеть примерно так: ^.*(get|GET).+(vk.com|odnoklassniki.com|twitter.com).*$ И это только малая часть возможных регулярных выражений. Однако, хочется заметить, что наш мир, а уж тем более Интернет, постоянно меняется, поэтому возможен вариант, что приведенный Regexp может не работать.                                               

И если добавить такую запись в разделе Layer7 Protocol, то в дальнейшем можно запретить этот трафик или перенаправить в другое место. Тем самым заблокировав доступ к этим сайтам.

Рис.6. Regexp – соединения с сайтами социальных сетей

 

Рис.7. Можно запретить или заблокировав доступ к социальным сетям

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!

Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

MikroTik и блокировка нежелательных сайтов (на примере youtube и facebook) / Хабр

На написание данной статьи меня сподвиг тот факт, что старший ребенок стал по ночам вместо того чтобы укладываться спать, смотреть на своем смартфоне всякие ролики на youtube, до поздней ночи, а так же замена домашнего роутера с TP-Link TL-WR1043ND на MikroTik RB951G-2HnD.

Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

Начнем с часто предлагаемого варианта в интернете (так не надо делать!!!):

● /ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*$"
add name=facebook regexp="^.+(facebook).*$"

● /ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются.

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Правильное решение


Создаем правило с регулярным выражением для Layer7:
● /ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*$"

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила

add name=facebook regexp="^.+(facebook).*$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов:
regexp=”^.*youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com).*$”

Далее создаем правила для маркировки соединений и пакетов:
● /ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp 
dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes 
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

и правила для фильтра файрвола:

● /ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу смартфона ребенка, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

Все, девайс остался без ютуба, жестко, но в воспитательных целях нужно.

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности, т.к. это моя первая статья на Хабре. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ ребенку в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Updt1, от avelor, блок по mac:

 ● /ip firewall filter
    add chain=input src-mac-address=aa:bb:cc:dd:ee:ff action=drop
    add chain=forward src-mac-address=aa:bb:cc:dd:ee:ff action=drop

можно заблочить и в dhcp — сделать lease и жмякнуть block access

Ошибка в работе L7 в Mikrotik / Хабр

Решая задачу, выявил странное поведение L7 в Mikrotik. При явном указании в регулярном выражении регистр символов игнорируется, даже если в регулярном выражении символы заданы в байтах.

Поставим задачу (задача специально придумана для демонстрации ошибки).
Заблокировать следующий URL: http://chelaxe.ru/Summary/

Как видно в URL есть буква в верхнем регистре: S.

Для этого воспользуемся Layer7 в MikroTik`е, который умеет потрошить пакеты. Он собирает первые 10 пакетов или 2кб из соединения и ищет в них необходимые данные по регулярному выражению.

Настраивается все так:
/ip firewall layer7-protocol add name=lock regexp=^.*(\/Summary\/).*(chelaxe\.ru).*$
/ip firewall filter add action=drop chain=forward disabled=no dst-port=80 layer7-protocol=lock protocol=tcp src-address=192.168.0.0/24

Через WinBox

Теперь необходимо составить верное регулярное выражение (POSIX). Сначала я просто попытался сделать так:

^.*(chelaxe\.ru\/Summary\/).*$

но у меня ничего не получилось, тогда я взял Wireshark и посмотрел на пакеты:

Как видим GET строка в пакете отдельно от Host строки и GET строка идет ранее:

GET /Summary/ HTTP/1.1
Host: chelaxe.ru

Переделываем регулярное выражение:

^.*(\/Summary\/).*(chelaxe\.ru).*$

Проверяем:

Для проверки и создания регулярных выражений пользовался regex101.com спасибо 0dmin за статью Разбор регулярных выражений.

Добавляем все в MikroTik и переходим на http://chelaxe.ru/Summary/
В результате: НЕ РАБОТАЕТ

Исправляем регулярное выражение на:
^.*(\/summary\/).*(chelaxe\.ru).*$
В результате: РАБОТАЕТ, но блокирует как http://chelaxe.ru/Summary/ так и http://chelaxe.ru/summary/ (специально создал две странички которые зависят от регистра буквы S)

Попробовал сделать по другому:

^.*(\x2f\x53\x75\x6d\x6d\x61\x72\x79\x2f).*$

Это строка в байтах соответствует, строки /Summary/
В результате: НЕ РАБОТАЕТ

Меняю байт \x53 на \x73 (S на s):

^.*(\x2f\x73\x75\x6d\x6d\x61\x72\x79\x2f).*$
В результате: РАБОТАЕТ, но блокирует как http://chelaxe.ru/Summary/ так и http://chelaxe.ru/summary/

Получается пакет уходит от меня в со строкой в верхнем регистре и приходит на сервер в таком же виде (сайт ведь разбирает в верхнем регистре или в нижнем), регулярное выражение верное, но при поиске строки в верхнем регистре ничего не возвращает, а при поиске строки в нижнем регистре возвращает оба варианта (и в верхнем и в нижнем).

Вывод: Использовать L7 в MikroTik`е для определения регистрозависимой информации в пакете невозможно.

UPD: Пользовался версией v5.26 (последняя в 5 ветке), а в ветке 6 данный баг был пофиксен:

What’s new in 6.0rc12 (2013-Mar-26 17:18):
*) fixed layer7 matcher — it is case insensitive now;

Проверил в версии v6.3 все работает как надо. Так что данная особенность имеет место быть, только в 5 ветке RouterOS

Размышления: Посмотрел как блокируют сайты из реестра провайдеры: при изменении регистра в GET пути страничка все равно заблокирована.

у ТТК:

Если сайт у которого заблокирована такая страничка создаст страничку с таким же URL только в верхнем регистре и потребует его разблокировать ввиду того что он не содержит ничего запрещенного, то разблокируется и внесенный в реестр URL.

Блокируем сайты в режиме белого и чёрного списков в MikroTik без Layer7 Protocols

Прелюдия

Это моя первая статья на Хабре (да и вообще первая подобная), поэтому прошу сильно сапогами не бить. Она ориентирована на таких же новичков, как и я, и не претендует на роль самой верной и правильной. Я просто делюсь своим решением проблемы, которого не мог найти нигде в интернете.


Суть проблемы

Года эдак два назад я решил обзавестись домашней точкой доступа (в простонародии роутер) и выбор пал на оборудование фирмы MikroTik. Я не был знаком с их интерфейсом и возможностями, поэтому, когда мне понадобилось выборочно заблокировать сайты, я полез в гугл, который мне выдал всего пару вариантов для реализации этой затеи. Выделю три основных:


  1. Фильтровать пакеты с помощью Layer7 Protocols
  2. Банально задать статические DNS записи для нужных доменов
  3. Использование WebProxy

Я не буду здесь расписывать, как они реализуются, т.к. этой информации в интернете предостаточно. Лишь кратко опишу, в чём их недостатки и почему я упорно продолжал поиски другого решения…


Layer7 Protocols

На первый взгляд идеальное решение. Однако, загружает CPU «микрота» и требует отключения fasttrack`а. В дополнение к этому, лично у меня так и не вышло настроить эту фичу нужным мне образом. Либо блокировалось всё, либо ничего.


Статические записи в DNS

Естественно, для этого сам микротик должен выступать в роли DNS-сервера в сети. Но основной недостаток этого метода — если нужно работать с сайтами в режиме «белого списка», т.е. блокировать всё, кроме нужных доменов — он бесполезен. Ну либо придётся добавить весь интернет в такие записи.


WebProxy

Тут даже говорить не о чем, он банально не работает с HTTPS.

Собственно, долго и упорно я гуглил другие методы, коих так и не смог найти нигде. Однако, пытаясь решить данную задачу другим путём, совершенно случайно набрёл на удобную фичу, что мне помогла решить эту проблему в полной мере — Addresses Lists.


А конкретнее…

Присутствует в микротике такая замечательная функция, как Firewall -> Addresses Lists.

Позволяет создавать списки IP-адресов. Так вот начиная с RouterOS 6.36 она умеет генерировать динамические адреса на основе указанного домена. Если ещё не уловили основную суть, то прошу под кат.


Само решение

Проделывать я всё буду в Winbox, т.к. статья всё-таки для таких же новичков, как и я, и GUI здесь будет понятнее намного.

Идём в обозначенный выше пункт IP -> Firewall -> Addresses Lists.


IP — Firewall — Addresses Lists

Создаём новый список, обзываем как душе угодно, в поле Address прописываем домен нужного нам сайта и нажимаем «ОК».


Создание нового списка

Через секунду после добавления такого правила микротик автоматически добавит в список все IP-адреса указанного сайта и подпишет каждый комментарием, к какому именно DNS-адресу принадлежит данный IP.


Смотрим динамически созданные адреса

Далее переходим в соседнюю вкладку «Filter Rules»


Смотрим, где она

Добавляем новое правило со следующими параметрами:


  • Вкладка General
  • Вкладка Advanced
    • Dst. Address List: Выбираем наш свежеиспечённый список, у меня он называется «VK»
  • Вкладка Action

Наглядно картинками

Сохраняем правило, размещаем выше запрещающих и бинго… Указанный сайт заблокирован без каких-либо сложных манипуляций. А, главное, можно в одно движение инвертировать правило, и оно станет работать как «белый список». Все сайты, кроме тех, что в списке адресов, будут заблокированы. Для этого достаточно установить чекбокс слева от пункта

Dst. Address List на вкладке Advanced.


Изменённый пункт выделен синим

На этом всё 🙂 Т.к. этот способ работает через обычные правила фаерволла, то можно настроить и список локальных адресов, на которые требуется распространить данное ограничение, но это уже будет выходить за рамки данной статьи.


Заключение

Надеюсь, я помог хотя бы одному новичку, столь же яро ищущего ответа на вопрос как же проще всего и без потерь блокировать нужные сайты.

Также приветствуется критика знающих людей: может, я где-то что-то упустил.

Как заблокировать сайт. — Хомячье логово

Содержание:

1. Как быстро закрыть доступ к сайту.
2. Черный список сайтов для фильтрации.
3. Запретить социальные сети в MikroTik.
4. Блокировка рекламы средствами MikroTik.
5. Оригиналы источников информации.


Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.


Основная часть этой статьи была взята с очень уважаемого мною сайта serveradmin.ru. Если вам понравилась данная статья, то перейдите на сайт её автора — serveradmin.ru, и поддержите автора финансово или информационной поддержкой! Ему будет очень приятно или полезно!


1. Как быстро закрыть доступ к сайту.

Начнем с самого простого. У нас есть роутер MikroTik, утилита winbox и желание конкретному пользователю установить запрет на посещение определенного сайта.

В моем примере это будет запрет на доступ к сайту одноклассники — ok.ru. Подключаемся к роутеру и идем в раздел IP -> Firewall, открываем вкладку Address List:

Нажимаем на + и создаем список для блокировки сайта:

Мы заполнили 2 поля:

  1. Name — имя списка. Может быть любым.
  2. Address — адрес сайта. Параметр может принимать значения как IP-адреса, так и доменного имени.

После добавления списка с адресом в виде доменного имени, происходит автоматический резолв имени в IP-адрес. После этого создаются динамические записи в списке уже из конкретных IP-адресов. Эти IP-адреса берутся из записей типа

A в DNS.

У сайта может быть несколько разных доменных имен. Они могут резолвится в разные IP-адреса, так что имеет смысл добавить в список все домены, которые вам известны.

Я добавил на всякий случай адрес odnoklassniki.ru, но по факту в этом нет смысла, так как он резолвится в те же самые IP-адреса, что и ok.ru. Новых динамических записей не добавилось.

Теперь настраиваем правило блокировки с использованием созданного ранее списка. Для этого идем на вкладку Filter Rules и добавляем новое правило.

  • Chainforward. Цепочка для транзитных пакетов, которые идут через роутер. В том числе все, что проходит из локальной сети.
  • Src. Address
    192.168.13.16. IP-адрес, для которого будет работать блокировка. Если хотите заблокировать сайт для всех, можно просто не заполнять это поле. Вместо IP-адреса можно указать разом всю подсеть — 192.168.13.0/24.
  • Protocoltcp. Если не указывать протокол, то тоже будет работать блокировка, но чем более конкретно указано правило, тем лучше в общем случае.

Внимание! Не забудьте указать интерфейс, на котором находится эта LAN.

Переходим на вкладку Advanced и указываем там список odnoklassniki, который создали ранее.

Далее открываем вкладку Action.

Тут все просто — отбрасываем указанные пакеты, отправляя в ответ ошибку icmpicmp-network-unreachable

. На время отладки можете поставить галочку log, чтобы в логе видеть все сработанные правила с блокировкой социальной сети.

Для того, чтобы правило блокировки работало, его необходимо разместить в списке выше правила, разрешающего трафик из локальной сети в интернет. У меня примерно так получилось.

На этом основная настройка закончена. В данный момент правило по фильтрации сайта уже работает. Мы с помощью стандартных средств MikroTik смогли заблокировать ok.ru. Это нетрудно проверить на клиенте. При попытке открыть адрес сайта популярной социальной сети он получит следующее сообщение в браузере.

 

В данном случае мы в ручном режиме сделали блокировку сайта конкретному пользователю. Если у вас таких сайтов и пользователей много, процесс надо по-возможности автоматизировать.

2. Черный список сайтов для фильтрации.

Для того, чтобы не создавать отдельные правила для каждого сайта, можно просто создать общий список блокировки и добавлять туда домены. Покажу на примере популярных видеохостингов. Настроим блокировку одним правилом youtube.com, vimeo.com, rutube.ru, ivi.ru, video.mail.ru. Для этого идем в раздел IP -> Firewall -> Address List и добавляем их все туда. Получился такой статический список.

На основе этого списка сформировался набор динамических записей с IP-адресами добавленных доменов.

Дальше точно так же создаем правило блокировки в firewall, как мы это сделали в предыдущем примере с одним сайтом, только указываем наш список видеохостингов. В данном случае принципиальной разницы нет, один у нас сайт или список.

Внимание!

Когда будете тестировать блокировку, обратите внимание, есть ли у вас выше в firewall правила для уже установленных соединений. Во время теста может так получиться, что правило блокировки не будет работать из-за того, что у вас соединения уже установлены и не доходят до блокирующего правила.

3. Запретить социальные сети в MikroTik.

Сейчас на примере списка социальных сетей разберу еще один подход к блокировке сайтов в MikroTik. Он будет основываться не на резолве доменных имен в IP-адреса, а на анализе содержимого пакетов с помощью Layer7 Protocol. Его преимущество именно в том, что он анализирует содержимое пакетов. Теоретически, это более надежный способ блокировки, так как IP-адреса сайтов могут меняться. В случае статических правил с IP-адресами это может приводить к тому, что в какой-то момент они станут не актуальны. С эти тоже можно бороться, обновляя списки, но это отдельная тема.

Я расскажу, как использовать Layer7 Protocol в микротике для блокировки социальных сетей просто для примера, чтобы вы знали, что есть такой механизм и его можно использовать.

Для этого создаем правило Layer7 Protocol в соответствующем разделе Winbox IP -> Firewall -> Layer7 Protocols для блокировки социальной сети Facebook.

/ip firewall layer7-protocol
add name=facebook regexp="^.+(facebook).*\$"

Теперь нам нужно промаркировать все соединения и пакеты в DNS запросах, где будет совпадение с созданным ранее правилом. Идем во вкладку Mangle и добавляем правило маркировки соединений.

Чтобы не перепутать какие-то параметры, можете просто ввести в консоли команду и проверить созданное правило.

/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=facebook new-connection-mark=facebook_conn passthrough=yes

И еще одно правило для маркировки пакетов на основе промаркированного выше соединения.

add action=mark-packet chain=prerouting connection-mark=facebook_conn new-packet-mark=facebook_packet

Пакеты промаркировали. Теперь создаем 2 блокирующих правила для цепочек input и forward. Для этого идем во вкладку Filter Rules и добавляем 2 правила. Я не буду показывать картинки, их и так уже полно в статье. Правила простые, введите их в консоль сами.

add action=drop chain=forward packet-mark=facebook_packet
add action=drop chain=input packet-mark=facebook_packet

Далее важно эти правила правильно расположить в списке правил. Они обязательно должны быть выше разрешающих правил для цепочек input и forward. Примерно так.

add action=drop chain=input comment="block facebook" log=yes packet-mark=facebook_packet
add action=accept chain=input comment="Local Input" in-interface=!ether2-wan src-address=192.168.13.0/24

add action=drop chain=forward comment="block facebook" log=yes packet-mark=facebook_packet
add action=accept chain=forward comment="accept forward from local to internet" in-interface=!ether2-wan

На время отладки я включаю логирование правил, обнуляю счетчики и начинаю тестировать. Если что-то пойдет не так, проверьте так же счетчики в разделе Mangle. Если там будет пусто, значит ошибка либо в правиле Layer7 Protocols, либо в самих правилах маркировки. Я, когда тестировал, неправильно расположил правила в Firewall. В итоге в правилах маркировки счетчики росли, пакеты маркировались, но блокировки не было. Это было видно по нулевым счетчикам в Firewall. После того, как правильно расположил правила, блокировка социальной сети Facebook заработала как надо.

Объясняю логику работы данной блокировки. Мы маркируем все соединения к DNS серверу, удовлетворяющие указанному regex в правиле Layer7. Далее маркируем все пакеты из этого соединения. Потом в фаерволе блокируем эти соединения. Если клиент использует DNS сервер на микротике, запросы блокируются правилом цепочки input, если используется сторонний, то в блок пакеты попадают по правилу цепочки forward. В итоге у клиента не работает резолвинг доменного имени в IP и он не может попасть на сайт через браузер. Конечно, при желании, эту блокировку соцсети можно обойти. Для наибольшей эффективности надо комбинировать оба предложенных в статье способа.

Для тех, кому интересно, почему я описал именно такой способ блокирования нежелательных сайтов, поясню. Подсмотрел его в недавно переведенной мной презентации от сотрудника MikroTik, где он дает рекомендации по настройке. Я просто попробовал его реализовать и все получилось. Решил его добавить в эту статью.

4. Блокировка рекламы средствами MikroTik.

С помощью изученного средства по ограничению доступа к сайтам достаточно просто блокировать любую рекламу. Для примера рассмотрим вариант по блокировке рекламы в Skype. Так как я знаю адреса серверов, куда скайп лезет за рекламой, я могу его заблокировать в MikroTik. У меня есть список:

rad.msn.com
apps.skype.com
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Это адреса, откуда загружается реклама. Списки эти могут меняться время от времени, нужно периодически проверять и обновлять. Самому подготовить список рекламных адресов для конкретного сервиса можно, к примеру, с помощью настройки собственного DNS сервера и включения логирования запросов.

Дальше как обычно создаем regexp выражение для списка адресов:

^.+(rad.msn.com|apps.skype.com|vortex-win.data.microsoft.com|settings-win.data.microsoft.com).*$

Либо делаете список с DNS именами, как я показал в самом начале, если не хотите использовать Layer7 для этого. Добавляем новое правило блокировки в Firewall, подключаем к нему список, созданный ранее и наслаждаемся работой скайпа без рекламы.

5. Оригиналы источников информации.

  1. serveradmin.ru «Как заблокировать сайт микротиком». (от 2020.03.05)

Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.



RouterOS v7 WireGuard

21 августа 2020 года, компания MikroTik опубликовала версию RouterOS 7.1beta2 с поддержкой WireGuard

What's new in 7.1beta2 (2020-Aug-21 12:29):

!) added "bgp-network" output filter flag;
!) added bonding interface support for Layer3 hardware offloading;
!) added IPv6 nexthop support for IPv4 routes;
!) added Layer3 hardware offloading support for CRS309-1G-8S+IN, CRS312-4C+8XG-RM, CRS326-24S+2Q+RM and CRS354-48G-4S+2Q+RM;
!) added WireGuard support;
*) disk - improved external disk read/write speed;
*) ospf - fixed point to point routes becoming inactive;
*) route - fixed source address selection of outgoing packets;
*) other minor fixes and improvements;

Давайте попробуем посмотреть что нам подготовили ребята из MikroTik и попробуем разобраться в каких-нибудь деталях .

Главное помните в production есть место только long-term релизам, не о каких stable и тем более testing или development не идёт и речи.

Обновляем RouterOS до версии RouterOS 7.1beta2 и смотрим в winbox.

Как видим WireGuard доступен в WinBox сразу в главном меню, но через консоль он доступен как и положенно в разделе interface.

[[email protected]] /interface/wireguard> 

На всякий случай напоминаю, что в RouterOS седьмой версии слегка изменился синтаксис, теперь разделитель между разделами не пробел, а слеш (slash), по аналогии также как и в API RouterOS шестой версии, что конечно значительно удобнее.

Создадим интерфейс

[[email protected]] /interface/wireguard add name=wireguard-test listen-port=666

И посмотрим результат

/interface wireguard
add listen-port=666 mtu=1420 name=wireguard-test private-key=\
    "WAXLRnORvGTkuoSVVH6hqx89bLyW88q51ThCifSxv3o="

Кстати обратите внимание export всё ещё выводит путь к разделу, в старом формате. Да да пока синтаксис обратно-совместим, можно пользоваться как пробелом так и слешом для разделения уровней.

Видим что RouterOS автоматически создал приватный ключ для интерфейса WireGuard. Если вы не укажите порт который будет слушать интерфейс порт будет сгенерирован динамически. Как вы знаете я не люблю не определённости, поэтому указываем руками.

Нам необходимо выяснить публичный ключ

[[email protected]] /interface/wireguard print 
 0 name="test" mtu=1420 listen-port=666
   private-key="WAXLRnORvGTkuoSVVH6hqx89bLyW88q51ThCifSxv3o=" 
   public-key="Cz1ar0f20XfkV93GqubTBO1zArFP4PxHyJs4hXxWGE0="

Именно этот public ключ мы должны передать на клиента.

Так же необходимо назначить на интерфейс WireGuard ip адрес

/ip address
add address=10.255.255.1/24 interface=wireguard-test

Далее заходим на самого клиента, в моём случае я буду делать всё на iPhone на других платформах аналогично с учётом специфика клиента.

Заходим в клиента Создаём туннель

Далее нам необходимо подготовить интерфейс на клиенте

Задаём имя интерфейса Генерируем ключи
Скопируйте public ключ Настройка сети

Ключ нам необходимо передать на MikroTik, а адреса клиентов должны лежать в сети адреса интерфейса WireGuard указанном на MikroTik.

Необходимо настроить peer на клиенте

Настройки пира Параметры для peer
  • Public key — Public ключ который мы взяли с интерфейса в RouterOS
  • Endpoint — Точка подключения IP адрес и порт wireguard RouterOS
  • Allowed IPs — сети или ip адреса, которые будут использовать для отправки трафика в туннель. Можно указать внутренние сети.
  • Keepalive — так как мой тестовый сервер находиться за НАТ, чтобы на маршрутизаторе который НАТ-ит трафик не «отсохло» соединение, необходимо переодически генерировать активность.

Добавляем клиента на MikroTik

/interface wireguard peers
add allowed-address=0.0.0.0/0 interface=wireguard-test persistent-keepalive=10 \
    public-key="0XNCHvwFammDULmDQ50vLKq4jAnD4pDpVTSOnzZjbG4="

public-key — которые был сгенерирован на клиенте.

Проверка

Результат на клиенте

Конечно это самый не удобный способ, мы можем всё подготовить со стороны сервера и передать клиенту в одностороннем порядке, и клиенту необходимо будет либо камерой прочитать QR код или выбрать файл конфигурации.

Я же здесь просто хотел вам показать, что это работает и с этим можно жить.

Рассказать друзьям

Чатик телеграм

Блокировка веб-сайтов Layer 7 с помощью Mikrotik ~ Binary Heartbeat


Есть несколько способов заблокировать веб-сайты на Mikrotik Routers. Один из самых простых и эффективных способов сделать это на MT — использовать проверку уровня 7.

1. Откройте Winbox и подключитесь к маршрутизатору.
1.1 В меню слева выберите IP-> Firewall




2. В Windows брандмауэра щелкните вкладку «Протоколы уровня 7»
.


3. Нажмите кнопку «Добавить»
. 3.. + (youtube.com | facebook.com). *

долларов США

4. Щелкните вкладку «Правила фильтрации» в окне «Брандмауэр».
4.1 На вкладке «Общие» убедитесь, что выбрана цепочка «Вперед».


5. На вкладке «Дополнительно» в разделе «Протокол уровня 7» выберите элемент «Блокировать», который мы создали ранее.


6. На вкладке «Действие» выберите действие «отклонить» и нажмите «ОК» для завершения.


Альтернативный способ настроить блокировку — ввести (или вставить) в окно терминала следующее:

/ ip firewall layer7-protocol
добавить имя = Блокировать регулярное выражение = «^.+ (youtube.com | facebook.com). * \ $ «
/ ip firewall filter
add action = reject chain = forward layer7-protocol = Block


Убедитесь, что вы все протестировали перед запуском в производство. Также обратите внимание, что есть способы обойти это, если ваши пользователи достаточно умны или решительны. .Руководство

: Winbox — MikroTik Wiki

Сводка

Winbox — это небольшая утилита, которая позволяет администрировать MikroTik RouterOS с помощью быстрого и простого графического интерфейса. Это собственный двоичный файл Win32, но его можно запустить на Linux и MacOS (OSX) с использованием Wine. Все функции интерфейса Winbox максимально приближены к консольным функциям, поэтому в руководстве нет разделов Winbox. Некоторые из расширенных и критически важных для системы конфигураций невозможны из Winbox, например, изменение MAC-адреса в интерфейсе. Список изменений Winbox.

Из Winbox v3.14 используются следующие функции безопасности:

  • Winbox.exe подписан сертификатом расширенной проверки, выданным SIA Mikrotīkls (MikroTik).
  • WinBox использует ECSRP для обмена ключами и аутентификации (требуется новая версия winbox).
  • Обе стороны проверяют, знает ли другая сторона пароль (атака посредника невозможна).
  • Winbox в режиме RoMON требует, чтобы агент был последней версии, чтобы иметь возможность подключаться к маршрутизаторам последней версии.
  • Winbox использует AES128-CBC-SHA в качестве алгоритма шифрования (требуется Winbox версии 3.14 или выше).

Запуск Winbox

Загрузчик

Winbox можно скачать со страницы загрузки mikrotik. Когда winbox.exe загружен, дважды щелкните по нему, и появится окно загрузчика winbox:

Для подключения к маршрутизатору введите IP или MAC-адрес маршрутизатора, укажите имя пользователя и пароль (если есть) и нажмите кнопку Connect . Вы также можете ввести номер порта после IP-адреса, разделив их двоеточием, например 192.168.88.1: 9999. Порт можно изменить в меню RouterOS services .

Примечание: По возможности рекомендуется использовать IP-адрес. Сеанс MAC использует сетевое вещание и не является 100% надежным.

Вы также можете использовать обнаружение соседей, для вывода списка доступных маршрутизаторов используйте вкладку Соседи :

В списке обнаруженных маршрутизаторов вы можете щелкнуть столбец IP или MAC-адреса, чтобы подключиться к этому маршрутизатору. Если вы нажмете на IP-адрес, то IP будет использоваться для подключения, но если вы нажмете на MAC-адрес, то MAC-адрес будет использоваться для подключения к маршрутизатору.

Примечание. Обнаружение соседей также покажет устройства, несовместимые с Winbox, такие как маршрутизаторы Cisco или любое другое устройство, использующее CDP (протокол обнаружения Cisco). Если вы попытаетесь подключиться к устройству SwOS, то соединение будет установлено через веб-браузер

.

Описание кнопок и полей экрана загрузчика

— Кнопки / флажки

  • Connect — Подключение к роутеру
  • Подключиться к RoMON — Подключиться к агенту RoMON
  • Добавить / установить — Сохранить / изменить любую из сохраненных записей маршрутизатора на вкладке Managed .
  • Открыть в новом окне — Оставляет загрузчик открытым в фоновом режиме и открывает новые окна для каждого устройства, к которому установлено соединение.

— Поля

  • Connect To: — IP или MAC-адрес назначения маршрутизатора
  • Логин — имя пользователя, используемое для аутентификации
  • Пароль — пароль, используемый для аутентификации
  • Keep Password — если не отмечено галочкой, пароль не сохраняется в списке

— Кнопки / флажки

  • Обзор — Просмотр каталога файлов для определенного сеанса
  • Keep Password — если не отмечено, пароль не сохраняется в списке
  • Безопасный режим — если отмечено, Winbox будет использовать DH-1984 для обмена ключами и модифицированного и усиленного шифрования RC4-drop3072 для защиты сеанса.
  • Автосохранение сеанса — Автоматическое сохранение сеансов для устройств, к которым установлено соединение.

— Поля:

  • Сеанс — Сохраненный сеанс маршрутизатора.
  • Примечание — Обратите внимание, что это назначено для сохранения записи маршрутизатора.
  • Группа — Группа, которой назначена сохраненная запись маршрутизатора.
  • Агент RoMON — Выберите Агент RoMON из списка доступных устройств


Описание пунктов меню на экране загрузчика

— Файл

  • Новый — Создать новый список управляемых маршрутизаторов в указанном месте
  • Открыть — Открыть файл списка управляемых маршрутизаторов
  • Сохранить как — Сохранить текущий список управляемых маршрутизаторов в файл
  • Exit — Выход из загрузчика Winbox

— Инструменты

  • Расширенный режим — включает / отключает просмотр в расширенном режиме
  • Импорт — импорт сохраненного файла сеанса
  • Экспорт — Экспорт файла сохраненной сессии
  • Переместить папку сеанса — Изменить путь, в котором хранятся файлы сеанса
  • Очистить кеш — Очистить кеш winbox
  • Проверить наличие обновлений — Проверить наличие обновлений для загрузчика Winbox

Предупреждение. Список управляемых маршрутизаторов по умолчанию не зашифрован.Чтобы зашифровать его, установите мастер-пароль !

Можно использовать командную строку для автоматической передачи параметров подключения, пользователя и пароля:

winbox.exe [ [ []]]
 

Например (без пароля):

winbox.exe 10.5.101.1 админ ""
 

Будет подключаться к маршрутизатору 10.5.101.1 с пользователем «admin» без пароля.

Можно использовать командную строку для автоматической передачи параметров подключения, пользователя и пароля для подключения к маршрутизатору через RoMON.В этом случае агент RoMON должен быть сохранен в списке управляемых маршрутизаторов, чтобы Winbox знал пользователя и пароль для этого устройства:

winbox.exe --romon [ [ [ []]]]
 

Например (без пароля):

winbox.exe --romon 10.5.101.1 D4: CA: 6D: E1: B5: 7D admin ""
 

Будет подключаться к маршрутизатору D4: CA: 6D: E1: B5: 7D через 10.5.101.1 Агент RoMON с пользователем «admin» без пароля.

Подключение по IPv6

Winbox поддерживает подключение по IPv6.Для подключения к IPv6-адресу маршрутизатора он должен быть заключен в квадратные скобки так же, как в веб-браузерах при подключении к IPv6-серверу. Пример:

Обнаружение соседей

Winbox теперь способно обнаруживать маршрутизаторы с поддержкой IPv6. Как вы можете видеть на изображении ниже, для каждого маршрутизатора с поддержкой IPv6 есть две записи: одна — с адресом IPv4, а другая — с локальным адресом канала IPv6. Вы можете легко выбрать, к какому из них хотите подключиться:

Запуск Winbox на macOS

Машина для розлива вина

Можно использовать Winbox в операционной системе Apple macOS с помощью программного обеспечения эмуляции Wine.Для упрощения использования его можно комбинировать с программным обеспечением WineBottler для создания более удобного исполняемого файла.

Домашнее пиво

Если версия в бутылках не работает, вы можете использовать Homebrew для установки Wine, а затем запустить обычный файл Winbox.exe с нашей страницы загрузки.

Требования:

  1. Xcode последняя версия. Если у вас есть Xcode 9-beta, сначала удалите Xcode 8, а затем переименуйте бета-версию в «Xcode».
  2. Homebrew

Затем просто выполните следующие действия:

 brew cask install xquartz
варить установить вино
 

Если вы хотите создать средство запуска в MacOS, чтобы избежать запуска Wine из терминала, вы можете сделать это с помощью Automator и сохранить результат как службу или как приложение.Это пример настройки:

Обзор интерфейса

Интерфейс Winbox был разработан так, чтобы быть интуитивно понятным для большинства пользователей. Интерфейс состоит из:

  • Основная панель инструментов вверху, где пользователи могут добавлять различные информационные поля, например использование ЦП и памяти.
  • Строка меню слева — список всех доступных меню и подменю. Этот список меняется в зависимости от того, какие пакеты установлены. Например, если пакет IPv6 отключен, то меню IPv6 и все его подменю отображаться не будут.
  • Рабочая область — область, в которой открываются все окна меню.


Строка заголовка показывает информацию, чтобы определить, с каким маршрутизатором сеанс Winbox открыт. Информация отображается в следующем формате:

[имя пользователя] @ [IP или MAC маршрутизатора] ([RouterID]) - Winbox [версия ROS] на [модель RB] ([платформа])
 

Из скриншота выше видно, что пользователь krisjanis вошел в маршрутизатор с IPv4 / IPv6-адресом [fe80 :: 4e5e: cff: fef6: c0ab% 3] .Идентификатор маршрутизатора — 3C18-Krisjanis_GW , в настоящее время установленная версия RouterOS — v6.36rc6 , RouterBoard — CCR1036-12G-4S , а платформа — tile .

На левой стороне главной панели инструментов расположены кнопки undo и redo для быстрой отмены любых изменений, внесенных в конфигурацию. С правой стороны расположены:

  • индикатор трафика winbox отображается в виде зеленой полосы,
  • индикатор, который показывает, использует ли сеанс winbox шифрование

Рабочая область и дочерние окна

Winbox имеет интерфейс MDI, что означает, что все окна конфигурации меню (дочерние) прикреплены к основному (родительскому) окну Winbox и отображаются в рабочей области.

Дочерние окна нельзя вынести за пределы рабочей области. Обратите внимание на снимок экрана выше, что окно Interface перетаскивается из видимой рабочей области, а внизу появилась горизонтальная полоса прокрутки. Если какое-либо окно находится за пределами видимых границ рабочей области, появятся вертикальные и / или горизонтальные полосы прокрутки.

Каждое дочернее окно имеет собственную панель инструментов. Большинство окон имеют одинаковый набор кнопок панели инструментов:

Почти во всех окнах есть поле ввода быстрого поиска в правой части панели инструментов.Любой текст, введенный в это поле, просматривается по всем элементам и выделяется, как показано на скриншоте ниже.

Обратите внимание, что справа рядом с полем ввода быстрого поиска есть раскрывающийся список. Для открытого в данный момент окна (IP Route) этот раскрывающийся список позволяет быстро сортировать элементы по таблицам маршрутизации. Например, если выбрано main , то будут перечислены только маршруты из основной таблицы маршрутизации.
Подобное раскрывающееся меню есть и во всех окнах брандмауэра для быстрой сортировки правил по цепочкам.

Сортировка отображаемых элементов

Практически в каждом окне есть кнопка Сортировка . При нажатии на эту кнопку появляется несколько параметров, как показано на снимке экрана ниже.

Пример показывает, как быстро отфильтровать маршруты, которые находятся в диапазоне 10.0.0.0/8

  1. Нажмите кнопку Сортировать
  2. Выберите Dst.Address из первого раскрывающегося списка.
  3. Выберите из из второго раскрывающегося списка.«in» означает, что фильтр будет проверять, находится ли значение адреса dst в диапазоне указанной сети.
  4. Введите сеть, с которой будут сравниваться значения (в нашем примере введите «10.0.0.0/8»)
  5. Эти кнопки служат для добавления или удаления другого фильтра в стек.
  6. Нажмите кнопку Filter , чтобы применить наш фильтр.

Как видно из скриншота, winbox отсортировал только маршруты, которые находятся в диапазоне 10.0.0.0/8.

Операторы сравнения (номер 3 на скриншоте) могут быть разными для каждого окна.Например, в окне «Ip Route» всего два: и . В других окнах могут быть такие операторы, как «не», «содержит», «не содержит».

Winbox позволяет строить стек фильтров. Например, если есть необходимость в фильтрации по адресу назначения и шлюзу, тогда

  • установите первый фильтр, как описано в примере выше,
  • нажмите кнопку [+] , чтобы добавить еще одну полосу фильтра в стек.
  • настроить второй фильтр для фильтрации по шлюзу
  • нажмите кнопку Фильтр , чтобы применить фильтры.

Вы также можете удалить ненужный фильтр из стека, нажав кнопку [-] .

Настройка списка отображаемых столбцов

По умолчанию winbox показывает наиболее часто используемые параметры. Однако иногда необходимо увидеть другие параметры, например «BGP AS Path» или другие атрибуты BGP, чтобы отслеживать правильность выбора маршрутов.

Winbox позволяет настраивать отображаемые столбцы для каждого отдельного окна. Например, чтобы добавить столбец BGP AS path:

  • Щелкните маленькую кнопку со стрелкой ( 1 ) справа от заголовков столбцов или щелкните правой кнопкой мыши список маршрутов.
  • Из всплывающего меню перейдите к Показать столбцы ( 2 ) и в подменю выберите нужный столбец, в нашем случае нажмите BGP AS Path ( 3 )

Изменения, внесенные в макет окна, сохраняются, и в следующий раз, когда открывается winbox, применяется тот же порядок столбцов и размер.

Детальный режим

Также можно включить Детальный режим . В этом режиме все параметры отображаются в столбцах, первый столбец — это имя параметра, второй столбец — значение параметра.

Чтобы включить подробный режим, щелкните правой кнопкой мыши список элементов и выберите из всплывающего меню Подробный режим

Просмотр категории

Есть возможность перечислять товары по категориям. В этом режиме все элементы будут сгруппированы в алфавитном порядке или по другой категории. Например, элементы могут быть сгруппированы по алфавиту, если они отсортированы по имени, элементы также могут быть сгруппированы по типу, как на скриншоте ниже.

Чтобы включить просмотр категорий, щелкните правой кнопкой мыши список элементов и выберите во всплывающем меню Показать категории

Перетаскивание

Можно загружать и скачивать файлы на / с маршрутизатора с помощью функции перетаскивания winbox.Вы также можете скачать файл, нажав на него правой кнопкой мыши и выбрав «Загрузить».

Примечание: Drag & Drop не работает, если winbox работает в Linux с использованием Wine. Это не проблема winbox, вино не поддерживает перетаскивание.

Мониторинг трафика

Winbox можно использовать как инструмент для мониторинга трафика каждого интерфейса, очереди или правила брандмауэра в режиме реального времени. На снимке экрана ниже показаны графики мониторинга трафика Ethernet.

Копия предмета

Это показывает, насколько просто скопировать элемент в Winbox.В этом примере мы будем использовать кнопку COPY, чтобы преобразовать динамический интерфейс сервера PPPoE в статический интерфейс.

Это изображение показывает нам начальное состояние, поскольку вы видите, что DR указывает на «D», что означает динамическое:

Дважды щелкните интерфейс и нажмите КОПИРОВАТЬ:

Появится новое окно интерфейса, новое имя будет создано автоматически (в данном случае pppoe-in1)

После этого события Down / Up этот интерфейс будет статическим:

Перенос настроек

  • Управляемая передача через маршрутизатор — в меню «Файл» используйте функции «Сохранить как» и «Открыть», чтобы сохранить список управляемых маршрутизаторов в файл и снова открыть его на новой рабочей станции.
  • Перенос сеансов маршрутизатора — в меню «Инструменты» используйте функции «Экспорт» и «Импорт» для сохранения существующих сеансов в файл и их повторного импорта на новую рабочую станцию.

Устранение неисправностей

Winbox не может подключиться к IP-адресу маршрутизатора
Убедитесь, что брандмауэр Windows разрешает соединения Winbox или отключает брандмауэр Windows.
Я получаю сообщение об ошибке «(порт 20561) истекло время ожидания» при подключении к маршрутизатору с MAC-адресом
Windows (7/8) не разрешает подключение Mac, если общий доступ к файлам и принтерам отключен.
Я не могу найти свое устройство в списке WinBox IPv4 Neighbours или MAC-соединение не работает с сообщением «ERROR не удалось подключиться к XX-XX-XX-XX-XX-XX»
Большинство сетевых драйверов не активируют стек IP, если ваше хост-устройство не имеет конфигурации IP. Настройте конфигурацию IPv4 на вашем хост-устройстве.
! Иногда устройство может быть обнаружено из-за кэширования, но MAC-соединение по-прежнему не работает с сообщением «ОШИБКА: не удалось подключиться к XX: XX: XX: XX: XX: XX

Руководство по устаревшей версии

Winbox v2.x.x

[ Вверх | К содержанию ]

.

MikroTik Block Website (Facebook, YouTube и т. Д.)

MikroTik Firewall — это мощный инструмент безопасности, который можно использовать для блокировки нежелательных веб-сайтов. Если вы являетесь администратором сети, иногда это может быть ваше требование, чтобы заблокировать любой сайт, как Facebook, YouTube, сайт порнографических и так далее. Чтобы заблокировать эти типы веб-сайтов, вам просто нужно создать правила брандмауэра, которые разорвут любое соединение с этими веб-сайтами через ваш маршрутизатор MikroTik. Базовая концепция MikroTik Firewall, такая как что такое MikroTik Firewall, что такое MikroTik Firewall Rule, как реализовать MikroTik Firewall Rule и т. Д.обсуждалось в моей предыдущей статье. Если вы чувствуете, что вам нужна основная концепция MikroTik Firewall, не стесняйтесь потратить время на изучение этой статьи. В этой статье я только собираюсь показать, как заблокировать нежелательные веб-сайты с помощью правил брандмауэра MikroTik.

Как брандмауэр MikroTik блокирует веб-сайты

Брандмауэр MikroTik блокирует веб-сайты с помощью правила фильтрации. Правило фильтра MikroTik состоит из двух частей.

  • Условная часть , которая принимает различные условные свойства, такие как цепочка, адрес источника, адрес назначения, протокол, порт источника, порт назначения, Протокол Layer7 и т. Д.соответствовать условиям.
  • Часть действия , которая выполняет только действие перетаскивания для блокировки любого веб-сайта.

Если условная часть правила фильтрации соответствует, MikroTik Firewall разорвет это соединение. Таким образом, ни один пользователь не может получить доступ к этому сайту через MikroTik Router.

Почему протокол Layer7

MikroTik Firewall способен заблокировать любой веб-сайт не только с исходным адресом или адресом назначения, но и с протоколом Layer7. Протокол Layer7 использует Perl Regex (регулярное выражение) для соответствия любому ключевому слову в URL.В случае совпадения действие выполняется правилом фильтрации, использующим этот протокол Layer7. Поскольку мы хотим заблокировать любой веб-сайт, предоставляющий ключевое слово, например Facebook, YouTube и т. Д., Мы создадим протокол Layer7 с Regex, а затем будем использовать этот протокол Layer7 в нашем правиле фильтра.

Блокировать Facebook, YouTube с помощью правила фильтрации MikroTik

Теперь мы создадим правило фильтра, которое будет блокировать такие веб-сайты, как Facebook, YouTube или любой другой веб-сайт, который вы хотите. Полный процесс создания правила фильтрации можно разделить на два этапа.

  • Шаг 1: Создание протокола Layer7 для выбора желаемого веб-сайта и
  • Шаг 2: Создание правила брандмауэра для блокировки этого выбранного веб-сайта

Шаг 1: Создание протокола Layer7 для выбора желаемого веб-сайта

Перед созданием правила фильтрации нам необходимо создать протокол Layer7 с регулярным выражением, потому что этот протокол Layer7 будет использоваться правилом фильтрации для соответствия любому ключевому слову в URL-адресе. Следующий процесс покажет, как создать протокол Layer7 с Regex.

  • Откройте winbox и войдите, используя свои учетные данные.. + (youtube.com). * $. Вы можете поместить любое ключевое слово, такие как секс, порно и т.д., которые вы хотите заблокировать в круглых скобках в этом Regex.

Регулярное выражение протокола уровня 7 для блокировки веб-сайтов

Мы создали наши протоколы уровня 7, которые будут использоваться в правиле фильтрации для блокировки желаемых сайтов. Теперь мы создадим наше правило фильтра брандмауэра.

Шаг 2: Создание правила фильтрации для блокировки выбранного веб-сайта с помощью протокола Layer7

После создания протокола Layer7 мы создадим правило фильтрации, которое заблокирует желаемый веб-сайт.Следующие шаги покажут, как создать правило фильтра для блокировки любого веб-сайта.

  • Теперь перейдите на вкладку «Правила фильтрации», а затем нажмите «ПЛЮС» (+), чтобы создать новое правило фильтрации. Появится окно нового правила брандмауэра.
  • На вкладке «Общие» выберите «Вперед» в раскрывающемся меню «Цепочка».
  • Мы сохраняем нетронутыми оба Src. Адрес и Dst. Обращайтесь, потому что мы хотим заблокировать всех пользователей. Если вы хотите заблокировать для определенного пользователя, укажите его IP-адрес в Src. Поле ввода адреса или, если вы хотите заблокировать IP-блок, поместите этот IP-блок в Src.Поле ввода адреса.
  • Щелкните раскрывающееся меню «Протокол» и выберите «TCP» в раскрывающемся меню «Протокол».
  • Поместите порт 80,443 в Dst. Поле ввода порта. Значение должно быть разделено запятыми.
  • Щелкните вкладку «Дополнительно», а затем выберите созданный вами ранее протокол Layer7 в раскрывающемся меню «Протокол Layer7».
  • Теперь перейдите на вкладку «Действие» и выберите «Удалить» из раскрывающегося меню «Действие».
  • Нажмите кнопку «Применить» и «ОК».
  • Точно так же вы можете создать другое правило фильтра, чтобы заблокировать любой другой веб-сайт.
.

Сброс микротика до заводских значений по умолчанию — RDB IT Support

  • Загрузка резервного загрузчика RouterBOOT
    Удерживайте эту кнопку перед подачей питания, отпустите через три секунды после включения, чтобы загрузить резервный загрузчик. Это может быть необходимо, если устройство не работает из-за неудачного обновления RouterBOOT. Когда вы запустили устройство с загрузчиком резервных копий, вы можете либо установить RouterOS на , принудительный загрузчик резервных копий в настройках RouterBOARD, либо иметь возможность переустановить сбойный RouterBOOT из файла fwf (всего 3 секунды )
  • Сброс конфигурации RouterOS
    Если вы удерживаете эту кнопку еще 2 секунды, пока светодиодный индикатор не начнет мигать, отпустите кнопку, чтобы сбросить конфигурацию RouterOS (всего 5 секунд )
  • Включение режима CAPs
    Чтобы подключить это устройство к беспроводной сети, управляемой CAPsMAN, удерживайте кнопку еще 5 секунд, индикатор загорится, отпустите, чтобы включить режим CAPs (всего 10 секунд )
  • Запуск RouterBOARD в режиме Netinstall
    Или Удерживайте кнопку еще 5 секунд, пока светодиод не погаснет, затем отпустите ее, чтобы RouterBOARD поискал серверы Netinstall.Вы также можете просто удерживать кнопку нажатой, пока устройство не появится в программе Netinstall в Windows (всего 15 секунд )

Большинство устройств RouterBOARD оснащены кнопкой сброса.

Использование : отключите устройство от источника питания, нажмите и удерживайте кнопку сразу после подачи питания и подождите, пока светодиод USER не начнет мигать. Теперь отпустите кнопку, чтобы очистить конфигурацию.

Примечание. Если вы дождетесь, пока светодиод перестанет мигать, и только затем отпустите кнопку — вместо этого запустится режим Netinstall для переустановки RouterOS.

Сброс отверстия перемычки

Все текущие модели RouterBOARD также оснащены отверстием для перемычки сброса. Некоторым устройствам может потребоваться открытие корпуса. RB750 / RB951 / RB751 имеют отверстие для перемычки под одной из резиновых ножек корпуса.

Использование : Закройте перемычку металлической отверткой и загружайте плату до тех пор, пока конфигурация не будет очищена.

Сброс перемычки для старых моделей

На изображении ниже показано расположение перемычки сброса на старых платах RouterBOARD, таких как RB133C:

Примечание. Не забудьте снять перемычку после сброса конфигурации, иначе она будет сбрасываться при каждой перезагрузке.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *