Block соцсетей DNS vs IP на mikrotik rb951ui-2hnd

[HotBeer]

Ок, спасибо за ответы.

[HotBeer]

Да, и level 7 никак не сможет отфильтровать https. Это невозможно.

А что скажете по этому поводу?

https таким образом не обрежешь

вы уверены что дополнительно ничего в сети не используется для блокировки https и что точно на 443 порт обращение идет ? если действительно микротиком можно https рубить этож круто, но что-то не верится

про wiki вы не тот пример посмотрели, там фильтрация по ответу сервера идет, с https она шифрованная - следовательно фильтр не сработает. а если фильтр на имя сайта ставить, он по запросный и не шифрованный идет - фильтр его видит и режет.

хм... подтверждаю работает спасибо

Сразу скажу микротика под рукой сейчас нет, чтобы проводить эксперименты (хотя конечно виртуалку можно залить)

[HotBeer]

Там всего 10 страничек, 4 минуты максимум. Неужели вы настолько заняты?

Пошел читать:)

[KARaS'b]

/ip/firewall/layer7-protocol add name=vk_com regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"
/ip/firewall/filter add action=drop chain=forward layer7-protocol=vk_com out-interface=internet src-address-list=vk.com_block

В защиту топикстартера - может я чего то не понимаю, или не правильно проверяю, но вот эта штука действительно работает, даже для https! Только я не понял зачем в ней "src-address-list=vk.com_block", откуда взяться этому листу, если он не создавался? Сделал без нее и вуаля!
Все заработало, до vk не достучаться даже по https. При этом сделал запрос в яндексе - vk.com, и страница поиска свободно отобразилась, зашел на сайт работающий без https где есть вход через вк, страница тоже отобразилась, поиском этого сайта поискал на нем же vk.com и страница прогрузилась, попытался зайти на этом сайте через vk и не смог, отключил правило и все заработало. Так что похоже способ то действенный. Единственное, интересует вопрос в каком формате идет вот эта вещь ^.*(\x76\x6b\.\x63\x6f\x6d).*$ ? Как допустим к такому же виду привести одновкласников и прочие фейсбуки?)

[HotBeer]

/ip/firewall/layer7-protocol add name=vk_com regexp="^.*(\\x76\\x6b\\.\\x63\\x6f\\x6d).*\$"
/ip/firewall/filter add action=drop chain=forward layer7-protocol=vk_com out-interface=internet src-address-list=vk.com_block

В защиту топикстартера - может я чего то не понимаю, или не правильно проверяю, но вот эта штука действительно работает, даже для https! Только я не понял зачем в ней "src-address-list=vk.com_block", откуда взяться этому листу, если он не создавался? Сделал без нее и вуаля!
Все заработало, до vk не достучаться даже по https. При этом сделал запрос в яндексе - vk.com, и страница поиска свободно отобразилась, зашел на сайт работающий без https где есть вход через вк, страница тоже отобразилась, поиском этого сайта поискал на нем же vk.com и страница прогрузилась, попытался зайти на этом сайте через vk и не смог, отключил правило и все заработало. Так что похоже способ то действенный. Единственное, интересует вопрос в каком формате идет вот эта вещь ^.*(\x76\x6b\.\x63\x6f\x6d).*$ ? Как допустим к такому же виду привести одновкласников и прочие фейсбуки?)

Продолжение обсуждения этой тему тут
viewtopic.php?f=1&t=6599&start=90