Блокировка запрещённых сайтов
-
Lotar-Olaf
- Сообщения: 6
- Зарегистрирован: 24 июн 2019, 07:37
- Откуда: Московская область
Подскажите, пожалуйста, можно ли на роутере Mikrotik блокировать доступ к сайтам, запрещённым Роскомнадзором? (Работаю сисадмином в средней школе)
-
Lotar-Olaf
- Сообщения: 6
- Зарегистрирован: 24 июн 2019, 07:37
- Откуда: Московская область
Начал копать тему – пока тёмный лес. Не ясно, как получить сам список запрещенных сайтов с ресурса Роскомнадзора. А главное – как запретить на Микротике доступ не к одному сайту, а к списку из пары сотен тысяч пунктов?
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Вы ПРОВАЙДЕР ?Lotar-Olaf писал(а): ↑26 авг 2019, 09:56 Начал копать тему – пока тёмный лес. Не ясно, как получить сам список запрещенных сайтов с ресурса Роскомнадзора. А главное – как запретить на Микротике доступ не к одному сайту, а к списку из пары сотен тысяч пунктов?
2) У Вас крутое мощное железо?
3) ВЫ можете спокойно (быстро) обрабатывать список из 85.000-160.000 тысяч записей?
Не пытайтесь объять необъятное, делайте Чёрный список с 100-5000 записью и ограничивайте
по нему, но не надо всё сразу по полной.
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Легальным путём Вы не получите список заблокированных ресурсов. Менее легальным: https://github.com/zapret-info/z-i ( полная копия выгрузки РКН, обновляется часто ).
Заблокировать на MT 16к доменов это ещё постижимая задача, хотя простые железки страдают при загрузке, но заблокировать более 2кк IP адресов это.. это очень сложно. Список конечно составлен максимально по ублюдстки, и его можно очень хорошо оптимизировать, удалив одинаковые IP, собрав адреса в подсети, но это по прежнему список из миллиона адресов.
Ту никто такого не делал и точно посоветовать железку не могут, но как минимум Вам нужно от 2Gb \ 4Gb на железке.
Заблокировать на MT 16к доменов это ещё постижимая задача, хотя простые железки страдают при загрузке, но заблокировать более 2кк IP адресов это.. это очень сложно. Список конечно составлен максимально по ублюдстки, и его можно очень хорошо оптимизировать, удалив одинаковые IP, собрав адреса в подсети, но это по прежнему список из миллиона адресов.
Ту никто такого не делал и точно посоветовать железку не могут, но как минимум Вам нужно от 2Gb \ 4Gb на железке.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
evgeniy.chaykin
- Сообщения: 1
- Зарегистрирован: 28 авг 2019, 16:50
Я бы попробовал так:
1. настроил BGP по этой статье: https://habr.com/ru/post/413049/
2. В последней команде поменял бы тип на blackhole
Мне кажется, это максимально простой вариант. Сам не проверял.
1. настроил BGP по этой статье: https://habr.com/ru/post/413049/
2. В последней команде поменял бы тип на blackhole
Код: Выделить всё
/routing filter add action=accept chain=bgp_in set-type=blackhole-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Тогда я бы Вам посмотреть, как использовать DHCP Options или DHCP Options Set, используя метод, описанный в этой статье: https://interface31.ru/tech_it/2019/05 ... rotik.htmlLotar-Olaf писал(а): ↑26 авг 2019, 08:07 Подскажите, пожалуйста, можно ли на роутере Mikrotik блокировать доступ к сайтам, запрещённым Роскомнадзором? (Работаю сисадмином в средней школе)
Это просто идея использования отдельных DNS для компов учеников.
Еще одна интересная возможность открывается в выдаче отдельным узлам своего набора опций. Следующий сценарий подойдет домашним пользователям, как достаточно простой и эффективный способ обеспечить безопасность ребенка в интернет.
Суть ее состоит в следующем: мы выборочно изменяем DNS-сервера детских сетевых устройств на безопасные DNS, например, Яндекс Семейный, SkyDNS, AdGuard и т.д. Тем, кто захочет реализовать этот сценарий в сети предприятия следует иметь ввиду, что в этом случае таким клиентам будут недоступны возможности собственного DNS-сервера
Найдите этот текст в статье и далее все увидите, как это делается.
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!