Разное

Layer7 protocol mikrotik: Как использовать protocol layer 7 на mikrotik? — Хабр Q&A

Содержание

Настройка фильтрации трафика на MikroTik. Часть 1

Для базового понимания работы файрвола, необходимо ознакомиться с понятиями цепочки (chain), состояния соединения (connection state), условия и действия (action).

Цепочки (chain)

При фильтрации трафик, в зависимости от своего предназначения попадает в одну из цепочек (chain) обработки трафика. В фильтре предопределены три основные цепочки:

  • input входящий трафик предназначенный для маршрутизатора. Например, когда вы подключаетесь к маршрутизатору при помощи приложения winbox, трафик как раз попадает в эту цепочку.
  • output Исходящий трафик. Трафик, создаваемый самим маршрутизатором. Например, если вы выполните команду ping непосредственно с самого маршрутизатора, трафик попадет в эту цепочку.
  • forward Трафик, идущий через маршрутизатор. Например, если компьютер из локальной сети, установил соединение с внешним сайтом, данный трафик попадает в цепочку forward.

Таким образом мы видим, что для защиты самого маршрутизатора необходимо использовать цепочку input, а для защиты и фильтрации трафика между сетями необходимо использовать цепочку forward.

Кроме того, администратор имеет возможность создавать свои собственные цепочки обработки трафика, к которым можно обращаться из основных цепочек. Данная возможность будет рассмотрена в дальнейшем.

Состояние соединения (connection state)

Каждое из сетевых соединений MikroTik относит к одному из 4 состояний:

  • New – Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
  • Established – Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
  • Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
  • Invalid – Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.

Исходя из вышеизложенного, мы видим, что хорошим вариантом настройки фильтрации пакетов будет следующий набор условий:

  1. Обрабатывать новые соединения (connection state = new), принимая решение об пропуске или блокировке трафика.
  2. Всегда пропускать соединения в состоянии established и related, так как решение о пропуске этого трафика было принято на этапе обработки нового соединения.
  3. Всегда блокировать трафик, для которого состояние соединения равно invalid, потому что этот трафик не относится ни к одному из соединений и фактически является паразитным.

Условие

При прохождении пакета через фильтр, маршрутизатор последовательно проверяет соответствие пакета заданным условиям, начиная от правила, расположенного первым. и последовательно проверяя пакет на соответствие правилам номер два, три и так далее, пока не произойдет одно из двух событий:

  1. Пакет будет соответствовать заданному условию. При этом сработает соответствующее правило, в котором это условие было задано, после чего обработка пакета будет завершена.
  2. Закончатся все условия и пакет не будет признан соответствующим ни одному из них. При этом, по умолчанию он будет пропущен дальше.

Исходя из п.2, нельзя не отметить, что есть две стратегии построения фильтра пакетов:

  1. Нормально открытый файрвол. Данный тип настройки можно определить как «Все разрешено, что не запрещено». При этом мы запрещаем прохождение только некоторых типов трафика. Если пакет не соответствует этим типам – он будет пропущен. Обычно данный тип файрвола характерен для мест, где не предъявляется высоких требований к безопасности пользователей, а трафик может быть самым разнообразным и не поддающимся жесткой квалификации. Такая настройка характерна для операторов связи (Интернет-провайдеров), открытых точек доступа, домашних маршрутизаторов.
  2. Нормально закрытый файрвол. Данный тип настройки можно определить как «Все запрещено, что не разрешено». При этом разрешается прохождение только определенных типов трафика, а последним правилом в файрволе стоит правило, запрещающее прохождение любого типа трафика. Такой тип настройки файрвола характерен для корпоративного использования, где существуют жесткие требования к безопасности.

Не могу сказать, что какая-то из стратегий является правильной, а какая-то неправильной. Обе стратегии имеют право на жизнь, но каждая — в определенных условиях.

Теперь подробнее распишем все варианты условий, на основании которых мы можем принимать решение о действии.

Закладка general

















Наименование

Описание

Chain

Цепочка (см. выше). 
Варианты в списке: input, output, forward.

Если ввести свое название – получим свою цепочку.

Src. Address

Адрес источника пакета. Варианты заполнения поля:

Один адрес. Например, 192.168.0.5

Подсеть. Например, 192.168.0.0/24

Диапазон адресов. Например, 192.168.0.5-192.168.0.15

Обратите внимание: если вам надо задать несвязанный диапазон адресов, то это нельзя сделать в этом поле, но можно сделать через Src. Address List на закладке Advanced

Dst. Address

Адрес назначения пакета. Варианты заполнения поля см. выше

Protocol

Протокол соединения. TCP, UDP, ICMP и т.п.

Src. Port

Порт, с которого пришел пакет. Поле можно заполнить только если протокол соответствует TCP или UDP. 
Варианты заполнения поля:

Один порт. Например, 22.

Диапазон портов. Например, 10000-20000.

Несколько портов. Например ,22,23,25.

Несколько диапазонов портов. Например, 5060-5070,10000-20000 .

Диапазон и несколько портов. Например, 22,23,10000-20000.

Dst. Port

Порт, на который пришел пакет. Поле можно заполнить, только если протокол соответствует TCP или UDP.
Варианты заполнения поля см. выше.

Any Port

Любой порт. Например, или Src. Port, или Dst. Port 
Варианты заполнения поля см. выше.

P2P

Peer-to-Peer протокол. Пакет относится к одному из P2P протоколов. Например, edonkey или BitTorrent. 
Обратите внимание, что шифрованные сессии не идентифицируются посредством данного поля.

In Interface

Интерфейс, с которого пришел проверяемый пакет. (Не работает, если chain=output, т.к. источник трафика — сам маршрутизатор)

Out Interface

Интерфейс, куда будет передан пакет. (Не работает, если chain=input, так как трафик предназначен для маршрутизатора и дальше передан быть не может).

Packet Mark

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Connection Mark

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Routing Mark

Пакет имеет определенную маркировку, полученную ранее через Mangle.

Connection Type

Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports

Connection State

Состояние соединения. Описывалось выше.

Обратите внимание, что перед частью полей можно поставить флаг восклицательного знака. Этот флаг будет обозначать отрицание. Например:

обозначает что адрес источника любой, кроме 192.168.0.0/24 . Также обратите внимание, что если поле не заполнено, оно должно быть серым. Если вы передумали заполнять поле, чтобы его исключить и сделать серым – нажмите стрелку «вверх», справа от поля.

Закладка Advanced

На этой закладке собраны расширенные опции выбора пакета.





















Наименование

Описание

Src. Address List

Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Dst. Address List

Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Layer 7 Protocol

При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов.

Content

Внутри пакета содержится определенная строка символов.

Connection Bytes

Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность.

Например, 1000000-0 = более 1МБ.

 

Connection Rates

Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps)

Per Connection Classifier

Используется при необходимости разделения трафика на несколько потоков. Позволяет держать пакеты с определенным набором опций в одном потоке. Подробнее: https://wiki.mikrotik.com/wiki/Manual:PCC

Src. MAC Address

MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором.

Out Bridge Port

Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

In Bridge Port

Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

Ingress Priority

Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit

DSCP (TOS)

Определяет DSCP, заданный в заголовке пакета.

TCP MSS

Размер MSS (Maximum segment size) TCP пакета.

Packet Size

Размер пакета.

Random

Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале.

TCP Flags

Флаги TCP соединения.

ICMP Options

Опции (типы сообщения) ICMP.

IPv4 Options

В заголовке пакета имеется заданная опция протокола Ipv4.

TTL

Time To Live – Время жизни пакета соответствует …

Закладка Extra

Эта закладка продолжает список расширенных опций, не поместившихся на закладку Advanced.

Итак:












Наименование

Описание

Connection Limit

Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).

Limit

Предназначено для ограничения количества передаваемых пакетов:

Поля:

Rate – количество пакетов в секунду (минуту/час).

Burst – Количество неучитываемых пакетов (пакетов не входящих в packet rate).

Dst. Limit

Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций. 
Поля rate и burst соответствуют таковым в опции Limit.

Дополнительный поля:

Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты.

Expire — через какой промежуток времени запомненный адрес/порт будут удалены.

Nth

Каждый из:

Every – из какого числа пакетов.

Packet – сколько.

Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов).
Опцию часто используют при балансировке нагрузки между каналами.

Time

Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock)

Src. Address Type

Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast)

Dst. Address Type

Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast)

PSD

Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля:

Weight Threshold = При каком значении сработает.

Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса.

Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023.

High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535.

Например, на скриншоте правило сработает, если будет просканировано 7 и более портов в привилегированном диапазоне; Или 21 и более портов в непривилегированном диапазоне. При этом пауза между поступающими пакетами с одного источника, направленного на разные порты будет не более 3 секунд.

Hotspot

Опции, связанные с работой хотспот, если он настроен на маршрутизаторе.

IP Fragment

Пакет является фрагментом другого пакета.

Как мы видим, в маршрутизаторе существует достаточно большое количество правил выбора пакетов, которые позволяют очень гибко и тонко настраивать работы с трафиком.

Теперь, когда мы поняли, на основании каких правил мы можем найти интересующий нас пакет, давайте посмотрим, что можно сделать после срабатывания правила.

Разбор основных ошибок Mikrotik | serveradmin.ru

Недавно я проходил обучение по MikroTik, на котором узнал про презентацию под названием My «holy war» against masquerade. Я не смог найти точную информацию о том, кто выступал с этой презентацией. Знаю только, что это было на одном из MUM (MikroTik User Meeting) в 2017 году. Информация в этой презентации мне показалась полезной, поэтому я решил ее перевести и прокомментировать.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.

Введение

У меня есть некоторое количество статей по работе с описываемыми устройствами, в том числе популярный материал на тему базовой настройки mikrotik, которую прочитало и прокомментировало огромное количество людей. В статьях есть не совсем верные, а иногда и ошибочные настройки, о которых никто не упомянул в комментариях. Информация о них есть в вышеупомянутой презентации, поэтому я решил ее перевести и разобрать. А затем и отредактировать свои статьи, чтобы исправить там ошибки.

Я не такой уж большой специалист в микротиках, так что могу что-то не совсем верно понять и перевести. Прошу об этом сказать в комментариях, если кто-то заметит. К тому же последние пару-тройку лет для меня микротики скорее как хобби. Я не работаю с физическими сетями и устройствами, которые их обслуживают. Микротиками пользуюсь в личных целях дома, на даче, у знакомых.

В презентации рассмотрены 9 самых популярных ошибок в MikroTik, с которыми обращаются в техническую поддержку. Цель выступления — сократить количество этих обращений. Форма подачи материала — сначала показано неправильное решение, потом объяснение ошибки и правильное решение. Начнем разбирать эти ошибки по порядку.

Большая нагрузка от использования фильтра Layer 7

У меня есть статья про блокировку сайтов микротиком. В ней показана ошибочная настройка, которую как раз разбирает автор презентации.

В принципе, тут не трудно догадаться, в чем проблема. Об этом говорили и в комментариях, и сам я знал, что могут быть проблемы с производительностью. Суть в том, что с таким правилом блокировки все пакеты будут анализироваться по регулярным выражениям. Это очень затратная по ресурсам процессора операция. Где-то дома, где небольшой трафик, это может быть не очень заметно. Но если ваш роутер прокачивает хорошую нагрузку, то несколько подобных правил выведут загрузку CPU в потолок.

Действовать нужно по-другому. Layer 7 protocol задуман как способ поиска определенных шаблонов в подключениях для маркировки трафика на основе этих шаблонов. А дальше уже маркированный трафик обрабатывается фаерволом. Фильтр с Layer 7 protocol не должен проверять абсолютно весь трафик. Он должен брать первые 10 пакетов или 2KB данных подключения и анализировать только их.

Корректное использование Layer 7 protocol показано на следующем примере.

/ip firewall mangle 
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

Очереди работают неправильно

При такой настройке очереди будут работать, только когда запущена утилита Torch, или выключен fasttrack. При этом обрабатывается только download трафик. Между локальными сетями так же срабатывает ограничение. Обнаружить ошибку можно по счетчикам в очередях. Они покажут, когда правило работает, а когда нет.

Причина этой ошибки в том, что режим Fasttrack работает для всего трафика, а он работу с очередями не поддерживает. Ускорение обработки трафика в режиме fasttrack как раз и достигается за счет того, что трафик не проходит по всем цепочкам обработки трафика фаерволом и очередями. Так же в правилах очередей не установлен параметр target.

В данном случае правильно simple queue должны быть настроены следующим образом.

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related in-interface=local-one out-interface=local-two
add chain=forward action=fasttrack-connection connection-state=established,related in-interface=local-two out-interface=local-one
add chain=forward action=accept connection state=established,related
/queue simple
add max-limit=10M/10M target=10.0.0.2/32
add max-limit=10M/10M target=10.0.0.3/32
add max-limit=10M/10M target=10.0.0.4/32

Мы включили fasttrack только для трафика между указанными локальными сетями. Остальной трафик идет в обычном режиме. Плюс, корректно настроили очереди, указав target.

Высокая нагрузка CPU на PPPoE server

Проблема данной конфигурации в том, что возникает огромная нагрузка на CPU, из-за чего отключает абонентов, у них нестабильная связь. Как я понял, это актуально для провайдеров, которые используют оборудование Микротик для подключения абонентов.

Во время диагностики видно, что процесс routing полностью загружает одно ядро на 100%. На остальных ядрах периодически появляется максимальная нагрузка процессов ppp и networking.

Причина данной ошибки в том, что динамическая маршрутизация OSPF спамит обновлением маршрутов с сеткой /32 от клиентов. При этом, все протоколы динамической маршрутизации в микротиках ограничены одним ядром. То есть параллелить свою работу не умеют. В итоге, при каждом подключении или отключении абонента по pppoe, начинается обновление маршрутов. Когда их много, они загружают полностью ядро процессора и все начинает тормозить.

Если я правильно понял, в данном случае решением будет использовать тип Area для ospf — stub (тупиковая), который можно указать в настройках. Предлагается такое решение (умничать не буду, почти ничего не понял 🙂

/routing ospf area
add area-id=0.0.0.1 authentication=none name=pppoe1 type=stub
/routing ospf network
add area=pppoe1 network=10.0.0.0/20
/routing ospf area range
add advertise=yes area=pppoe1 range=10.0.0.0/20
/routing ospf interface
add interface=all passive=yes

High CPU load on PPPoE server

Еще одна проблема с похожими симптомами. Есть PPPoE сервер и куча клиентов. Все это в какой-то момент начинает тормозить. Максимальную нагрузку дает процесс firewall. Для клиентов используется NAT с правилом Masquerade.

В данном случае использование Masquerade является ошибкой. По своей сути, маскарад это отдельная реализация srcnat. Она была разработана для ситуаций, когда внешний ip адрес не постоянный, периодически меняется. Каждый раз, когда интерфейс отключается или меняется его ip адрес, роутер ищет и сбрасывает все подключения, связанные с этим интерфейсом.

В данном случае правильно будет использовать srcnat.

/ip firewall nat
add action=src-nat chain=srcnat outinterface=<Public> to-addresses=<Public_IP>

Как я понял из описания проблемы и варианта решения, нужно всегда использовать srcnat, когда у вас постоянный ip адрес. Masquerade только для не постоянного ip адреса.

Локальный ip адрес виден в публичной сети

Ошибка возникает, когда у вас используется несколько каналов в интернет и автоматическое переключение между ними на основе смены дефолтного маршрута. Ip адреса постоянные, но при этом используется Masquerade.

После переключения внешнего канала, информация о серых адресах утекает во внешнюю сеть. Проблема тут как раз в использовании маскарада там, где это не нужно.

Причина ошибки в том, что при переключении каналов все соединения сбрасываются. После этого сброшенные подключения приходят на firewall с состоянием new и отправляются во вне по другому маршруту. Когда основной линк поднимается и восстанавливается исходный маршрут, все установленные соединения по альтернативному маршруту уходят во вне мимо NAT, без преобразования серых адресов.

Решение проблемы простое — использовать srcnat, вместо masquerade, как это было показано в предыдущих примерах. Так же добавить в firewall правила на drop пакетов в состоянии invalid. Обычно это и так делается. На внешних интерфейсах настроить drop пакетов с состоянием new идущих не из цепочки dstnat. Это в целом я тоже чаще всего делаю.

Drop connection-state=invalid packets
Drop connection-state=new connection-natstate=!dstnat packets from public interface

Так же в презентации предлагается сделать маршрут заглушку blackhole для каждого routing-mark. Я не понял, что это такое.

VRRP и проблемы маршрутизации

Симптомы ошибки следующие. Маршрутизация работает неправильно. Fastpath/fasttrack тоже не работает. Сетевые процессы создают высокую нагрузку на процессор.

Причина в том, что VRRP интерфейс создает 2 интерфейса с двумя одинаковыми подсетками на них. Возникает сетевой конфликт. Правильная настройка будет следующая.

/ip address add address=192.168.1.1/24 interface=ether1
/interface vrrp add interface=ether1 vrid=49 priority=254
/ip address add address=192.168.1.254/32 interface=vrrp1

DNS Cache

Симптомом проблемы с dns cache будет высокая нагрузка на CPU роутера и большой трафик на внешнем интерфейсе. Заметить проблему можно будет через torch или profile.

Проблема давно известная. Я сам с ней сталкивался, когда забывал фаерволом закрыть доступ к dns микротика из интернета. Существует известный тип атаки DNS Amplification. Подробнее о нем можно почитать в интернете. Суть в том, что на dns сервер поступает запрос с поддельным адресом отправителя. В качестве ответа dns отправляет большой объем данных на поддельный ip адрес. Таким образом на этот адрес устраивается ddos атака.

Защита тут простая — необходимо запретить с помощью firewall запросы к dns из интернета.

/ip firewall filter
add action=reject chain=input dst-port=53 protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input dst-port=53 protocol=tcp reject-with=icmp-port-unreachable

IPSec туннель не работает

Суть проблемы в том, что не удается создать туннель, потому что пакеты ipsec дропаются. Причина тут в том, что правила NAT подменяют src-address в шифрованных пакетах. В итоге измененный адрес источника не принимается на второй стороне.

Решить эту проблему можно с помощью raw table. Смысл этой таблицы в том, что с ее помощью можно обходить механизм трекинга соединений (connection tracker), пропуская напрямую или дропая пакеты. Это в целом снижает нагрузку на CPU, если у вас сильно нагруженная железка.

В данном случае нужно добавить действие notrack для ipsec пакетов, для того, чтобы:

  • не было дефрагментации пакетов
  • они шли мимо NAT
  • они шли мимо правил fasttrack, маркировки пакетов, и т.д.

Реализация следующая.

/ip firewall raw
add action=notrack chain=prerouting srcaddress=10.1.101.0/24 dst-address=10.1.202.0/24
add action=notrack chain=prerouting srcaddress=10.1.202.0/24 dst-address=10.1.101.0/24

Шифрованный Bridge для двух локальных сетей через интернет

Проблема данной схемы в том, что все тормозит и работает нестабильно. Как я понял, используется EoIP поверх l2tp для того, чтобы построить единое адресное пространство для двух удаленных сетей. Причина тормозов в огромных накладных расходах двух туннелей, сильной фрагментации пакетов.

Решением в данном случае будет просто не использовать такую схему построения vpn в Mikrotik. Достаточно использовать шифрованный EoIP туннель.

Заключение


Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

На этом все. Разобрал все проблемы из презентации. Постарался не просто перевести, а осмыслить проблемы и написать понятным языком их суть и предложенное решение. Так как сам не имею большого опыта работы с Микротиками в промышленной нагруженной эксплуатации, мог что-то напутать или понять неправильно. Прошу поправить в комментариях.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.
Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Блокировка YouTube через роутер MikroTik.

(не работает на прошивке 6.46 и выше)

Возникла необходимость заблокировать Youtube в сети, где шлюзом выступает роутер MikroTik BR750Gr3. Первоначальные настройки роутера выполнены по этой  инструкции.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Информация по блокировке взята отсюда.

В сокращенном виде терминальных команд это выглядит так:

/ip firewall mangle

add action=mark-connection chain=prerouting protocol=udp

dst-port=53 connection-mark=no-mark layer7-

protocol=youtube new-connection-mark=youtube_conn

passthrough=yes

add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet

/ip firewall filter

add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

(Нажимаем в роутере New Terminal и вводим построчно команды)

Принцип действия таков: мы маркируем соединения и пакеты, относящиеся к ютубу, затем правилами фаервола их блокируем.

Для тех, кто всё понял, дальше может не читать.

В микротик рекомендуют такой способ вместо одиночного правила блокировки т.к. он снижает нагрузку на оборудование.

Помимо настроек через команды, написанные выше, настройки можно выполнить через графический интерфейс. Рассмотрим этот способ подробнее.

Подключаемся к роутеру через WinBox.

Переходим по пути меню: IP>>Firewall>>Layer7 Protocols

Нажимаем синий плюсик и создаем новое правило.

В поле Name пишем имя youtube.

В поле Regexp: вводим значение для идентификации ютуба   ^.+(youtube).*$

* если необходимо заблокировать социальные сети или другие ресурсы, то необходимо создать правила с другими идентификаторами (доменными именами)

Создадим два правила для маркировки соединений и пакетов.

Переходим на вкладку Mangle. Нажимаем синий плюсик.

В открывшемся окне на вкладке General вводим значения, как на скриншоте ниже:

Chain: prerouting.

Src.Address: 192.168.x.x (адрес ПК, у которого нужно заблокировать доступ на ютуб, src – исходящий адрес, dst – адрес назначеня).

Protocol: udp.

Dst.port: 53.

Connection Mark: no-mark

Нажимаем кнопку «Apply».

Переходим на вкладку Advanced.

Layer7 Protocol: youtube

Переходим на вкладку Action, выполняем настройки.

Action: mark connection

New Connection Mark: youtube_conn

Passthrough – активируем галочкой.

Нажимаем Apply или OK.

Этим правилом мы будем маркировать все соединения с ютуб именем youtube_conn.

Создаем еще одно правило на вкладке Mangle нажав синий плюсик.

В открывшемся окне, на вкладке General вводим значения, как на скриншоте ниже:

Chain: prerouting.

Src.Address: 192.168.x.x (адрес ПК, у которого нужно заблокировать доступ на ютуб).

Connection Mark: youtube_conn.

Нажимаем кнопку «Apply».

Переходим на вкладку Action, выполняем настройки.

Action: mark packet

New Connection Mark: youtube_packet

Passthrough – активируем галочкой.

Нажимаем Apply или OK.

Этим правилом мы будем маркировать все пакеты ютуба.

Получилось два правила.

Переходим на вкладку Filter Rules. Создаем правило, нажав плюс.

Выполняем настройки. На вкладке General:

Chain: forward.

Packet Mark: youtube_packet.

Переходим на вкладку Action.

Action: drop

Можно добавить комментарий к правилу.

Нажимаем Apply или ОК. Правило готово.

Создадим еще одно правило в этом же разделе (Filter Rules).

На вкладке General отмечаем:

Chain: input

Packet Mark: youtube_packet

Переходим на вкладку Action.

Action: drop

Добавляем комментарий.

Нажимаем Apply, чтоб сохранить правило.

В итоге получились два правила.

После этих действий YouTube на компьютере перестал работать.

Блокировка ресурса для нескольких пользователей.

Если нужно заблокировать доступ на YouTube для большого числа пользователей создадим группу пользователей и применим правила к ней.

Переходим по пути: IP>>Firewall>>Address Lists

Нажимаем синий плюсик.

В открывшемся окне New Firewall Address List пишем название группы и диапазон необходимых IP-адресов. Нажимаем ОК.

Если работает DHCP, то правило будет применяться только к этому диапазону IP, нужно учитывать этот нюанс. Либо привязать MAC  адрес пользователя к определенному IP, и ему всегда будет раздаваться один и тот же IP либо прописать у всех пользователей сети статические IP адреса. Или какие-то другие варианты.

Переходим на вкладку Mangle, выбираем по очереди два наших созданных ранее правила по маркировке соединений и пакетов. В разделе General из строчки Src.Address убираем IP адрес, а на вкладке Advanced добавляем в строчке Src.Address List созданную группу. ОК.

После этих действий YouTube заблокируется у группы пользователей с перечисленным диапазоном IP адресов.

Иногда может потребоваться некоторое время, чтоб правило начало действовать.

Если есть какие-то другие запрещающие правила в списке фаервола, то данные правила лучше разместить выше них (или по обстоятельствам, в соответствии с тем, что и  как блокируется).

Разрешение доступа на YouTube определенным пользователям и запрет всем остальным.

Если нужно заблокировать ютуб всем пользователям и только определенным оставить, создаем группу GR3, в которою добавляем IP адреса пользователей, которым нужно разрешить доступ в YouTube.

Если нужны какие-то определенные IP-адреса, помимо перечисленного диапазона, то создаем еще один объект в разделе Address Lists, называем его точно так же и добавляем в него нужный IP.

С помощью консольной команды это можно сделать так:

/ip firewall address-list add list=GR3 address=192.168.0.60

Таким способом добавляем все нужные адреса.

Создаем группу GR5, в которую добавляем все IP-адреса сети.

В двух правилах на вкладке Mangle в разделе Advanced указываем созданную группу со всеми IP адресами. OK.

В двух правилах на вкладке Firewall в разделе General указываем диапазон всех IP-адресов сети в поле Src.Address.

Переходим на вкладку Advanced и в поле Src.Address выбираем группу пользователей, которым доступ разрешен. Важный момент – отмечаем значок «!» в квадратике слева от выбранной группы. Он означает инверсию действия, т.е. вместо запрещения разрешение. Нажимаем ОК.

Смысл всех этих действий таков: Соединения и пакеты Ютуба будут маркироваться для всех пользователей сети. Фильтр фаервола будет обрывать (drop) маркированные соединения и пакеты всем пользователям, за исключением пользователей группы GR3, для которых действие наоборот, т.е. разрешающее.

Вероятно, что есть и другие варианты для решения вопроса блокировки ресурса через MikroTik. Представленная схема проверена и работает в сети нашей организации. Обладая вышеописанными знаниями по маркировке и работе с группами можно создавать и комбинировать правила для блокировки/разрешения доступа к различным ресурсам интернета разным пользователям различными вариантами.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

они это сделали / Хабр

Не прошло и 10 лет, как разработчики RoS (в stable 6.47) добавили функционал, который позволяет перенаправить DNS запросы в соответствии со специальными правилами. Если раньше надо было изворачиваться с Layer-7 правилами в firewall, то теперь это делается просто и изящно:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\\.test1\\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\\.test2\\.localdomain" type=FWD

Моему счастью нет предела!

Чем это нам грозит?

Как минимум, мы избавляемся от странных конструкций с NAT наподобие этой:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\\x07contoso\\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

И это не все, теперь можно прописать несколько серверов пересылки, что поможет сделать dns failover.

Интелектуальная обработка DNS даст возможность начать внедрение ipv6 в сеть компании. До этого я этого не делал, причина в том, что мне нужно было разрешать ряд dns имен в локальные адреса, а в ipv6 это было не сделать без довольно больших костылей.

Блокировка сайтов youtube и facebook на MikroTik

На написание данной статьи меня сподвиг тот факт, что клиенту понадобилось блокировать трафик на развлекательные сайты. Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

 

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Начнем с часто предлагаемого варианта в интернете:

/ip firewall layer7-protocol add name=youtube regexp=»^.+(youtube).*\$» add name=facebook regexp=»^.+(facebook).*\$»

/ip firewall filter add action=drop chain=forward layer7-protocol=facebook

add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются. 

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Мы немного доработаем этот метод блокировки. Читайте далее.

Правильное решение

Создаем правило с регулярным выражением для Layer7:

/ip firewall layer7-protocol add name=youtube regexp=»^.+(youtube).*\$»

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила:

add name=facebook regexp=»^.+(facebook).*\$»

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов поля Regexp: 

^.*(youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|metacafe.com|viewster.com).*$

Далее создаем правила для маркировки соединений и пакетов:

/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes

*Можно создать это правило на весь трафик, а не только на DNS. Нагрузка при этом но роутер возрастёт, но вы гарантированно закроете пользователям доступ к нужным сайтам.

add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

и правила для фильтра файрвола:

/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу клиента, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Автор: Сергей Стрельцов

Дорабатывал статью Кардаш Александр Владимирович

Очень похоже что статья устарела. Смотрите её обновлённый вариант

 

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Базовое формирование трафика на основе протоколов уровня 7

Если мы хотим обеспечить достойный просмотр в Интернете для большего числа пользователей, использующих то же подключение к Интернету, но мы не хотим отключать какие-либо протоколы (например, p2p), просто чтобы сделать приоритет http выше, мы можем использовать эти правила.

Пакеты отмечены на общедоступной стороне в / ip firewall mangle . Пакеты маркируются на основе сигнатур 7 уровня и затем помещаются в очередь.

Сначала мы добавляем подписи уровня 7 к маршрутизатору:
(в настоящее время они идентичны l7-protos.(gnd [\ 01 \ 02] \?. \?. \? \ 01 | gnutella connect \
/ [012] \\. [0-9] \ r \
\ n | get / uri-res / n2r \\\? urn: sha1:% 7Cget /.*user-agent: (gtk-gnutella | bearshar \
e | mactella | gnucleus | gnotella | limewire | imesh) | get /.*content-type: Applicat \
ion / x-gnutella-packets | giv [0-9] *: [0-9a-f] * / | очередь [0-9a-f] * [1-9] [0-9] \? [\
0-9] \? \\. [1-9] [0-9] \? [0-9] \? \\. [1-9] [0-9] \? [0-9] \? \\. [1-9] [0-9] \? [0-9] \ ?: [\
1-9] [0-9] \? [0-9] \? [0-9] \? | Gnutella. * Тип-содержимого: application / x-gnutella |. \
………………\?Лайм)»
add comment = «» name = cvs regexp = «^ BEGIN (AUTH | VERIFICATION | GSSAPI) REQUEST \
\ n »
добавить комментарий = «» name = nbns regexp = «\ 01 \ 10 \ 01 | \\) \ 10 \ 01 \ 01 | 0 \ 10 \ 01»
добавить комментарий = «» name = shoutcast regexp = \
«ледяной [1-5] [0-9] [0-9] [\ t- \ r — ~] * (тип-содержимого: аудио | ледяной-)»
добавить комментарий = «» name = dns regexp = «^.(\ 01. \?. \?. \?. \?. \?. \?. \?. \? \ 01 | \ 02. \?. \
\?. \?. \?. \?. \?. \?. \? \ 02 | \ 03. \?. \?. \?. \?. \?. \?. \?. \? \ 03 | \ 04. \?. \?. \?. \?. \?. \
\?. \?. \? \ 04 | \ 05. \?. \?. \?. \?. \?. \?. \?. \? \ 05 | \ 06. \?. \?. \ ?. \?. \?. \?. \?. \? \ 06 | \
\ 07. \?. \?. \?. \?. \?. \?. \?. \? \ 07 | \ 08. \?. \?. \?. \?. \?. \ ?. \?. \? \ 08 | \ t. \?. \?. \?. \
\?. \?. \?. \?. \? \ t | \
\ n. \?. \?. \?. \?. \?. \?. \?. \? \
\ n | \ 0B. \?. \?. \?. \?. \?. \?. \?. \? \ 0B | \ 0C. \?. \?. \?. \?. \ ?. \?. \?. \? \ 0C | \ r. \?. \?. \
\?. \?. \?. \?. \?. \? \ r | \ 0E. \?. \?. \?. \?. \?. \?. \?. \? \ 0E | \ 0F. \?. \?. \?. \?. \?. \?. \
\?. \? \ 0F | \ 10.\?. \?. \?. \?. \?. \?. \?. \? \ 10 | \ 11. \?. \?. \?. \?. \?. \?. \ ?. \? \ 11 | \ 12 \
. \?. \?. \?. \?. \?. \?. \?. \? \ 12 | \ 13. \?. \?. \?. \?. \?. \?. \? . \? \ 13 | \ 14. \?. \?. \?. \? \
. \?. \?. \?. \? \ 14 | \ 15. \?. \?. \?. \?. \?. \?. \?. \? \ 15 | \ 16. \ ?. \?. \?. \?. \?. \?. \?. \? \
\ 16 | \ 17. \?. \?. \?. \?. \?. \?. \?. \? \ 17 | \ 18. \?. \?. \?. \?. \ ?. \?. \?. \? \ 18 | \ 19. \?. \
\?. \?. \?. \?. \?. \?. \? \ 19 | \ 1A. \?. \?. \?. \?. \?. \?. \?. \? \ 1A | \ 1B. \?. \?. \?. \?. \?. \
\?. \?. \? \ 1B | \ 1C. \?. \?. \?. \?. \?. \?. \?. \? \ 1C | \ 1D. \?. \?. \ ?. \?. \?. \?. \?. \? \ 1D | \
\ 1E. \?. \?. \?. \?. \?. \?. \?. \? \ 1E | \ 1F. \?. \ ?.\?. \?. \?. \?. \?. \? \ 1F | . \?. \?. \?. \
\?. \?. \?. \?. \? |!. \?. \?. \?. \?. \?. \?. \?. \ ?! | \ «. \?. \?. \?. \?. \?. \?. \ ?. \? \ «| #. \
\?. \?. \?. \?. \?. \?. \?. \? # | \\\ $. \?. \?. \?. \?. \?. \?. \? . \? \\\ $ |%. \?. \?. \?. \?. \? \
. \?. \?. \?% | &. \?. \?. \?. \?. \?. \?. \?. \? & | ‘. \?. \?. \?. \ ?. \?. \?. \?. \? ‘| \\ (. \?. \? \
. \?. \?. \?. \?. \?. \? \\ (| \\). \?. \?. \?. \?. \?. \?. \?. \? \ \) | \\ *. \?. \?. \?. \?. \?. \? \
. \?. \? \\ * | \\ +. \?. \?. \?. \?. \?. \?. \?. \? \\ + |,. \?. \?. \ ?. \?. \?. \?. \?. \ ?, | -. \?. \
\?. \?. \?. \?. \?. \?. \? — | \\ .. \?. \?. \?. \?. \?. \?. \?. \? \ \. | /. \?. \?. \ ?.\?. \?. \?. \
\?. \? / | 0. \?. \?. \?. \?. \?. \?. \?. \? 0 | 1. \?. \?. \?. \?. \? . \?. \?. \? 1 | 2. \?. \?. \?. \? \
. \?. \?. \?. \? 2 | 3. \?. \?. \?. \?. \?. \?. \?. \? 3 | 4. \?. \?. \ ?. \?. \?. \?. \?. \? 4 | 5. \?. \
\?. \?. \?. \?. \?. \?. \? 5 | 6. \?. \?. \?. \?. \?. \?. \?. \? 6 | 7 . \?. \?. \?. \?. \?. \?. \?. \? \
7 | 8. \?. \?. \?. \?. \?. \?. \?. \? 8 | 9. \?. \?. \?. \?. \?. \?. \ ?. \? 9 |:. \?. \?. \?. \?. \?. \
\?. \?. \ ?: |;. \?. \?. \?. \?. \?. \?. \?. \ ?; | <. \?. \?. \?. \? . \?. \?. \?. \? <| =. \?. \?. \? \ . \?. \?. \?. \?. \? = |>. \?. \?. \?. \?. \?. \?. \?. \?> | \\\?. \ ?. \?. \?. \?. \?. \?. \?. \? \\\
\? | @.\?. \?. \?. \?. \?. \?. \?. \? @ | A. \?. \?. \?. \?. \?. \?. \?. \? A | B. \?. \?. \?. \?. \?. \
\?. \?. \? B | C. \?. \?. \?. \?. \?. \?. \?. \? C | D. \?. \?. \?. \? . \?. \?. \?. \? D | E. \?. \?. \? \
. \?. \?. \?. \?. \? E | F. \?. \?. \?. \?. \?. \?. \?. \? F | G. \?. \ ?. \?. \?. \?. \?. \?. \? G | H. \
\?. \?. \?. \?. \?. \?. \?. \? H | I. \?. \?. \?. \?. \?. \?. \?. \? I | J. \?. \?. \?. \?. \?. \?. \? \
. \? J | K. \?. \?. \?. \?. \?. \?. \?. \? K | L. \?. \?. \?. \?. \?. \ ?. \?. \? L | M. \?. \?. \?. \?. \
\?. \?. \?. \? M | N. \?. \?. \?. \?. \?. \?. \?. \? N | O. \?. \?. \? . \?. \?. \?. \?. \? O | P. \?. \? \
. \?. \?. \?. \?. \?. \? P | Q. \?. \?. \?. \ ?.| _. \?. \?. \?. \?. \?. \?. \?. \? _ | `. \
\?. \?. \?. \?. \?. \?. \?. \? `| a. \?. \?. \?. \?. \?. \?. \?. \? a | b. \?. \?. \?. \?. \?. \?. \? \
. \? b | c. \?. \?. \?. \?. \?. \?. \?. \? c | d. \?. \?. \?. \?. \?. \ ?. \?. \? d | e. \?. \?. \?. \?. \
\?. \?. \?. \? e | f. \?. \?. \?. \?. \?. \?. \?. \? f | g. \?. \?. \? . \?. \?. \?. \?. \? g | h. \?. \? \
. \?. \?. \?. \?. \?. \? h | i. \?. \?. \?. \?. \?. \?. \?. \? i | j. \ ?. \?. \?. \?. \?. \?. \?. \? j | \
k. \?. \?. \?. \?. \?. \?. \?. \? k | l. \?. \?. \?. \?. \?. \?. \ ?. \? l | м. \?. \?. \?. \?. \?. \?. \
\?. \? m | n. \?. \?. \?. \?. \?. \?. \?. \? n | o. \?. \?. \?. \?. \? . \?. \?. \? o | p. \?. \?. \ ?.\? \
. \?. \?. \?. \? p | q. \?. \?. \?. \?. \?. \?. \?. \? q | r. \?. \?. \ ?. \?. \?. \?. \?. \? r | s. \?. \
\?. \?. \?. \?. \?. \?. \? s | t. \?. \?. \?. \?. \?. \?. \?. \? t | u . \?. \?. \?. \?. \?. \?. \?. \? \
u | v. \?. \?. \?. \?. \?. \?. \?. \? v | w. \?. \?. \?. \?. \?. \?. \ ?. \? w | x. \?. \?. \?. \?. \?. \
\?. \?. \? x | y. \?. \?. \?. \?. \?. \?. \?. \? y | z. \?. \?. \?. \? . \?. \?. \?. \? z | \\ {. \?. \?. \
\?. \?. \?. \?. \?. \? \\ {| \\ |. \?. \?. \?. \?. \?. \?. \?. \? \\ || \\}. \?. \?. \?. \?. \?. \?. \
\?. \? \\} | ~. \?. \?. \?. \?. \?. \?. \?. \? ~ | \ 7F. \?. \?. \?. \? . \?. \?. \?. \? \ 7F | \ 80. \?. \
\?. \?. \?. \?. \?. \?. \? \ 80 | \ 81.\?. \?. \?. \?. \?. \?. \?. \? \ 81 | \ 82. \?. \?. \?. \?. \?. \
\?. \?. \? \ 82 | \ 83. \?. \?. \?. \?. \?. \?. \?. \? \ 83 | \ 84. \?. \?. \ ?. \?. \?. \?. \?. \? \ 84 | \
\ 85. \?. \?. \?. \?. \?. \?. \?. \? \ 85 | \ 86. \?. \?. \?. \?. \?. \ ?. \?. \? \ 86 | \ 87. \?. \?. \? \
. \?. \?. \?. \?. \? \ 87 | \ 88. \?. \?. \?. \?. \?. \?. \?. \? \ 88 | \ 89. \?. \?. \?. \?. \?. \?. \? \
. \? \ 89 | \ 8A. \?. \?. \?. \?. \?. \?. \?. \? \ 8A | \ 8B. \?. \?. \?. \ ?. \?. \?. \?. \? \ 8B | \ 8C. \
\?. \?. \?. \?. \?. \?. \?. \? \ 8C | \ 8D. \?. \?. \?. \?. \?. \?. \ ?. \? \ 8D | \ 8E. \?. \?. \?. \?. \
\?. \?. \?. \? \ 8E | \ 8F. \?. \?. \?. \?. \?. \?. \?. \? \ 8F | \ 90. \?. \ ?\?. \?. \?. \?. \?. \? \
\ 90 | \ 91. \?. \?. \?. \?. \?. \?. \?. \? \ 91 | \ 92. \?. \?. \?. \?. \ ?. \?. \?. \? \ 92 | \ 93. \?. \
\?. \?. \?. \?. \?. \?. \? \ 93 | \ 94. \?. \?. \?. \?. \?. \?. \?. \? \ 94 | \ 95. \?. \?. \?. \?. \?. \
\?. \?. \? \ 95 | \ 96. \?. \?. \?. \?. \?. \?. \?. \? \ 96 | \ 97. \?. \?. \ ?. \?. \?. \?. \?. \? \ 97 | \
\ 98. \?. \?. \?. \?. \?. \?. \?. \? \ 98 | \ 99. \?. \?. \?. \?. \?. \ ?. \?. \? \ 99 | \ 9A. \?. \?. \? \
. \?. \?. \?. \?. \? \ 9A | \ 9B. \?. \?. \?. \?. \?. \?. \?. \? \ 9B | \ 9C. \?. \?. \?. \?. \?. \?. \? \
. \? \ 9C | \ 9D. \?. \?. \?. \?. \?. \?. \?. \? \ 9D | \ 9E. \?. \?. \?. \ ?. \?. \?. \?. \? \ 9E | \ 9F. \
\?. \?. \ ?.\?. \?. \?. \?. \? \ 9F | \ A0. \?. \?. \?. \?. \?. \?. \?. \? \ A0 | \ A1. \ ?. \?. \?. \?. \
\?. \?. \?. \? \ A1 | \ A2. \?. \?. \?. \?. \?. \?. \?. \? \ A2 | \ A3. \?. \ ?. \?. \?. \?. \?. \?. \? \
\ A3 | \ A4. \?. \?. \?. \?. \?. \?. \?. \? \ A4 | \ A5. \?. \?. \?. \?. \ ?. \?. \?. \? \ A5 | \ A6. \?. \
\?. \?. \?. \?. \?. \?. \? \ A6 | \ A7. \?. \?. \?. \?. \?. \?. \?. \? \ A7 | \ A8. \?. \?. \?. \?. \?. \
\?. \?. \? \ A8 | \ A9. \?. \?. \?. \?. \?. \?. \?. \? \ A9 | \ AA. \?. \?. \ ?. \?. \?. \?. \?. \? \ AA | \
\ AB. \?. \?. \?. \?. \?. \?. \?. \? \ AB | \ AC. \?. \?. \?. \?. \?. \ ?. \?. \? \ AC | \ AD. \?. \?. \? \
. \?. \?. \?. \?. \? \ AD | \ AE. \?. \?. \?. \?. \ ?.\?. \?. \? \ AE | \ AF. \?. \?. \?. \?. \?. \?. \? \
. \? \ AF | \ B0. \?. \?. \?. \?. \?. \?. \?. \? \ B0 | \ B1. \?. \?. \?. \ ?. \?. \?. \?. \? \ B1 | \ B2. \
\?. \?. \?. \?. \?. \?. \?. \? \ B2 | \ B3. \?. \?. \?. \?. \?. \?. \ ?. \? \ B3 | \ B4. \?. \?. \?. \?. \
\?. \?. \?. \? \ B4 | \ B5. \?. \?. \?. \?. \?. \?. \?. \? \ B5 | \ B6. \?. \ ?. \?. \?. \?. \?. \?. \? \
\ B6 | \ B7. \?. \?. \?. \?. \?. \?. \?. \? \ B7 | \ B8. \?. \?. \?. \?. \ ?. \?. \?. \? \ B8 | \ B9. \?. \
\?. \?. \?. \?. \?. \?. \? \ B9 | \ BA. \?. \?. \?. \?. \?. \?. \?. \? \ BA | \ BB. \?. \?. \?. \?. \?. \
\?. \?. \? \ BB | \ BC. \?. \?. \?. \?. \?. \?. \?. \? \ BC | \ BD. \?. \?. \ ?. \?. \?. \?. \ ?.\? \ BD | \
\ BE. \?. \?. \?. \?. \?. \?. \?. \? \ BE | \ BF. \?. \?. \?. \?. \?. \ ?. \?. \? \ BF | \ C0. \?. \?. \? \
. \?. \?. \?. \?. \? \ C0 | \ C1. \?. \?. \?. \?. \?. \?. \?. \? \ C1 | \ C2. \?. \?. \?. \?. \?. \?. \? \
. \? \ C2 | \ C3. \?. \?. \?. \?. \?. \?. \?. \? \ C3 | \ C4. \?. \?. \?. \ ?. \?. \?. \?. \? \ C4 | \ C5. \
\?. \?. \?. \?. \?. \?. \?. \? \ C5 | \ C6. \?. \?. \?. \?. \?. \?. \ ?. \? \ C6 | \ C7. \?. \?. \?. \?. \
\?. \?. \?. \? \ C7 | \ C8. \?. \?. \?. \?. \?. \?. \?. \? \ C8 | \ C9. \?. \ ?. \?. \?. \?. \?. \?. \? \
\ C9 | \ CA. \?. \?. \?. \?. \?. \?. \?. \? \ CA | \ CB. \?. \?. \?. \?. \ ?. \?. \?. \? \ CB | \ CC. \?. \
\?. \?. \?. \?. \?. \?. \? \ CC | \ CD.\?. \?. \?. \?. \?. \?. \?. \? \ CD | \ CE. \?. \?. \?. \?. \?. \
\?. \?. \? \ CE | \ CF. \?. \?. \?. \?. \?. \?. \?. \? \ CF | \ D0. \?. \?. \ ?. \?. \?. \?. \?. \? \ D0 | \
\ D1. \?. \?. \?. \?. \?. \?. \?. \? \ D1 | \ D2. \?. \?. \?. \?. \?. \ ?. \?. \? \ D2 | \ D3. \?. \?. \? \
. \?. \?. \?. \?. \? \ D3 | \ D4. \?. \?. \?. \?. \?. \?. \?. \? \ D4 | \ D5. \?. \?. \?. \?. \?. \?. \? \
. \? \ D5 | \ D6. \?. \?. \?. \?. \?. \?. \?. \? \ D6 | \ D7. \?. \?. \?. \ ?. \?. \?. \?. \? \ D7 | \ D8. \
\?. \?. \?. \?. \?. \?. \?. \? \ D8 | \ D9. \?. \?. \?. \?. \?. \?. \ ?. \? \ D9 | \ DA. \?. \?. \?. \?. \
\?. \?. \?. \? \ DA | \ DB. \?. \?. \?. \?. \?. \?. \?. \? \ DB | \ DC. \?. \ ?\?. \?. \?. \?. \?. \? \
\ DC | \ DD. \?. \?. \?. \?. \?. \?. \?. \? \ DD | \ DE. \?. \?. \?. \?. \ ?. \?. \?. \? \ DE | \ DF. \?. \
\?. \?. \?. \?. \?. \?. \? \ DF | \ E0. \?. \?. \?. \?. \?. \?. \?. \? \ E0 | \ E1. \?. \?. \?. \?. \?. \
\?. \?. \? \ E1 | \ E2. \?. \?. \?. \?. \?. \?. \?. \? \ E2 | \ E3. \?. \?. \ ?. \?. \?. \?. \?. \? \ E3 | \
\ E4. \?. \?. \?. \?. \?. \?. \?. \? \ E4 | \ E5. \?. \?. \?. \?. \?. \ ?. \?. \? \ E5 | \ E6. \?. \?. \? \
. \?. \?. \?. \?. \? \ E6 | \ E7. \?. \?. \?. \?. \?. \?. \?. \? \ E7 | \ E8. \?. \?. \?. \?. \?. \?. \? \
. \? \ E8 | \ E9. \?. \?. \?. \?. \?. \?. \?. \? \ E9 | \ EA. \?. \?. \?. \ ?. \?. \?. \?. \? \ EA | \ EB. \
\?. \?. \ ?.\?. \?. \?. \?. \? \ EB | \ EC. \?. \?. \?. \?. \?. \?. \?. \? \ EC | \ ED. \ ?. \?. \?. \?. \
\?. \?. \?. \? \ ED | \ EE. \?. \?. \?. \?. \?. \?. \?. \? \ EE | \ EF. \?. \ ?. \?. \?. \?. \?. \?. \? \
\ EF | \ F0. \?. \?. \?. \?. \?. \?. \?. \? \ F0 | \ F1. \?. \?. \?. \?. \ ?. \?. \?. \? \ F1 | \ F2. \?. \
\?. \?. \?. \?. \?. \?. \? \ F2 | \ F3. \?. \?. \?. \?. \?. \?. \?. \? \ F3 | \ F4. \?. \?. \?. \?. \?. \
\?. \?. \? \ F4 | \ F5. \?. \?. \?. \?. \?. \?. \?. \? \ F5 | \ F6. \?. \?. \ ?. \?. \?. \?. \?. \? \ F6 | \
\ F7. \?. \?. \?. \?. \?. \?. \?. \? \ F7 | \ F8. \?. \?. \?. \?. \?. \ ?. \?. \? \ F8 | \ F9. \?. \?. \? \
. \?. \?. \?. \?. \? \ F9 | \ FA. \?. \?. \?. \?. \ ?.(получить / ivs-IVSGetFileChunk | http / (0 \\. \
9 | 1 \\. 0 | 1 \\. 1) [1-5] [0-9] [0-9] [\ t- \ r — ~] * ##### REPLAY_CHUNK_START ##### ) »
добавить комментарий = «» name = armagetron regexp = YCLC_E | CYEL

Затем мы создаем правила управления — замените dsl interface в этом примере в соответствии с вашими потребностями (wan, ether1 и т. Д.)

 / ip firewall mangle
add action = mark-packet chain = prerouting comment = 100bao_p2p disabled = no \
   in-interface = dsl layer7-protocol = 100bao new-packet-mark = 100bao_p2p_in \
   сквозной = да
add action = mark-packet chain = postrouting comment = "" отключено = нет \
   Layer7-protocol = 100bao новый-пакет-mark = 100bao_p2p_out out-interface = dsl \
   сквозной = да
add action = mark-packet chain = prerouting comment = "aim mesenger" отключено = нет \
   in-interface = DSL, уровень 7-протокол = цель, новый-пакет-метка = aim_mesange 

.

Как заблокировать facebook в Mikrotik с помощью протоколов L7 (уровень 7)

В некоторых сценариях нам может потребоваться заблокировать социальный веб-сайт Facebook или некоторые другие… В этом руководстве я покажу вам, как достичь этой цели с помощью L7 (Layer7).

Это руководство состоит из двух частей:

1- Заблокировать сайт facebook для всех в локальной сети.

2- Разрешить facebook для определенных хостов и заблокировать для других в локальной сети.

1- Заблокировать сайт facebook для всех в локальной сети.. + (facebook.com). * $

Теперь нам нужно создать правило фильтра, выполнив следующие шаги:

Теперь проверьте правило, которое мы только что создали:

Попробуйте также на 2-м клиенте (172.16.10.199/24):

Проверить, блокирует ли он только facebook или другие сайты?

О да, наше правило работает отлично 🙂

2- Разрешить facebook для определенных хостов и заблокировать для других в локальной сети.

Теперь мы хотим разрешить facebook для 2-го клиента (172.16.10.199/24), но все же хотим заблокировать его для другого хоста (ов).

Для достижения этой цели нам нужно создать второе правило фильтра, для этого выполните следующие действия:

Переместите это правило вверх:

Протестируйте это правило на 2-м клиенте (172.16.10.199/24):

Проверить правило на Mikrotik:

Убедитесь, что facebook все еще заблокирован для других хостов в локальной сети:

Проверить правило (а) на Mikrotik:

Скорость отбрасывания пакетов увеличена!

Мы можем сделать то же самое для YouTube или любого другого сайта!

Надеюсь, это вам поможет!

Пожалуйста, помните меня в своих молитвах!

Наслаждайтесь 🙂

Нравится:

Нравится Загрузка…

Связанные

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *