Russian Users MikroTik | Форум пользователей MikroTik

Подскажите, пожалуйста, можно ли на роутере Mikrotik блокировать доступ к сайтам, запрещённым Роскомнадзором? (Работаю сисадмином в средней школе)

Начал копать тему – пока тёмный лес. Не ясно, как получить сам список запрещенных сайтов с ресурса Роскомнадзора. А главное – как запретить на Микротике доступ не к одному сайту, а к списку из пары сотен тысяч пунктов?

Lotar-Olaf писал(а): ↑26 авг 2019, 09:56 Начал копать тему – пока тёмный лес. Не ясно, как получить сам список запрещенных сайтов с ресурса Роскомнадзора. А главное – как запретить на Микротике доступ не к одному сайту, а к списку из пары сотен тысяч пунктов?

1) Вы ПРОВАЙДЕР ?
2) У Вас крутое мощное железо?
3) ВЫ можете спокойно (быстро) обрабатывать список из 85.000-160.000 тысяч записей?

Не пытайтесь объять необъятное, делайте Чёрный список с 100-5000 записью и ограничивайте
по нему, но не надо всё сразу по полной.

Легальным путём Вы не получите список заблокированных ресурсов. Менее легальным: https://github.com/zapret-info/z-i ( полная копия выгрузки РКН, обновляется часто ).
Заблокировать на MT 16к доменов это ещё постижимая задача, хотя простые железки страдают при загрузке, но заблокировать более 2кк IP адресов это.. это очень сложно. Список конечно составлен максимально по ублюдстки, и его можно очень хорошо оптимизировать, удалив одинаковые IP, собрав адреса в подсети, но это по прежнему список из миллиона адресов.

Ту никто такого не делал и точно посоветовать железку не могут, но как минимум Вам нужно от 2Gb \ 4Gb на железке.

Я бы попробовал так:
1. настроил BGP по этой статье: https://habr.com/ru/post/413049/
2. В последней команде поменял бы тип на blackhole Мне кажется, это максимально простой вариант. Сам не проверял.

Lotar-Olaf писал(а): ↑26 авг 2019, 08:07 Подскажите, пожалуйста, можно ли на роутере Mikrotik блокировать доступ к сайтам, запрещённым Роскомнадзором? (Работаю сисадмином в средней школе)

Тогда я бы Вам посмотреть, как использовать DHCP Options или DHCP Options Set, используя метод, описанный в этой статье: https://interface31.ru/tech_it/2019/05 ... rotik.html
Это просто идея использования отдельных DNS для компов учеников.

Еще одна интересная возможность открывается в выдаче отдельным узлам своего набора опций. Следующий сценарий подойдет домашним пользователям, как достаточно простой и эффективный способ обеспечить безопасность ребенка в интернет.
Суть ее состоит в следующем: мы выборочно изменяем DNS-сервера детских сетевых устройств на безопасные DNS, например, Яндекс Семейный, SkyDNS, AdGuard и т.д. Тем, кто захочет реализовать этот сценарий в сети предприятия следует иметь ввиду, что в этом случае таким клиентам будут недоступны возможности собственного DNS-сервера

Найдите этот текст в статье и далее все увидите, как это делается.