Доброго времени суток уважаемые гуру MikriTik.
Помогите пожалуйста решить задачу. На работе велено заблокировать социальные сети. Я их заблокировал по IP в Firewall. Задолбали по телефону вопросами почему очень нужный сайт не открывается? Придёшь, а там "в контакте" или "одноклассники" не открываются. Покажите пожалуйста на пальцах, как мне настроить чтобы при переходе на заблокированный сайт открывалась страничка с объяснением, что этот сайт заблокирован. Заранее благодарен за любую помощь.
Уведомление пользователю при блокировке сайта
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Не дропать трафик, а перенаправлять на свой сервер, правдо в случае https могут быть ошибки сертификата.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
Dragon_Knight писал(а):Не дропать трафик, а перенаправлять на свой сервер, правдо в случае https могут быть ошибки сертификата.
А на пальцах и популярно не сможет ни, кто описать? В Internet`e нашёл пару похожих тем но у меня не получилось применить это для себя. Вкратце. Я понял, что надо создать свой прозрачный прокси в mikrotik`e (не знаю как это сделать) и там разместить html файл. Режется в основном только https.
-
mafijs
- Сообщения: 564
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
"прозрачный прокси" - IP -> Web Proxy https не перехвтывает. только http
-
DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
mafijs писал(а):"прозрачный прокси" - IP -> Web Proxy https не перехвтывает. только http
В начале я написал, что блокировка сайтов ведётся в firewall и следуя логике Dragon_Knight надо не drop, а что-то другое. что переправит запрос на html файл расположенный на прокси mikrotik`a. Но знаний у меня мягко выражаясь маловато. Последний раз пробовал, как описано вот в этом посте https://habrahabr.ru/post/231103/
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, попробуйте адаптировать давнюю идею с использованием встроенного прокси. Насколько я помню сейчас ( самой мысли лет 5, если не больше) запретный трафик не дропается, а редиректится на порт 8080. На этом порту поднимаем прокси без кэширования. Правим страничку, на которую бросает в прокси, внося свои сведения. Страница там простая, html без всяких затей. Если без закидонов, в обычном текстовом редакторе поправите. И всё, должно работать.
Если что, запрос в Гугле типа "Микротик страница заглушка" вам поможет. Например вот этот материал должен помочь https://habrahabr.ru/post/231103/
Если что, запрос в Гугле типа "Микротик страница заглушка" вам поможет. Например вот этот материал должен помочь https://habrahabr.ru/post/231103/
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Dragon_Knight
- Сообщения: 1721
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Да причём тут микротик. Это роутер а не сервер..
Вам нужно поднять свой сервер, на отдельном компьютере (достаточно тупо апача и дефолтный хост) и все запросы редиректить туда.
Прокси на https трафик Вас не спасёт и никак не поможет.
Вам нужно поднять свой сервер, на отдельном компьютере (достаточно тупо апача и дефолтный хост) и все запросы редиректить туда.
Прокси на https трафик Вас не спасёт и никак не поможет.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
podarok66 писал(а):Так, попробуйте адаптировать давнюю идею с использованием встроенного прокси. Насколько я помню сейчас ( самой мысли лет 5, если не больше) запретный трафик не дропается, а редиректится на порт 8080. На этом порту поднимаем прокси без кэширования. Правим страничку, на которую бросает в прокси, внося свои сведения. Страница там простая, html без всяких затей. Если без закидонов, в обычном текстовом редакторе поправите. И всё, должно работать.
Если что, запрос в Гугле типа "Микротик страница заглушка" вам поможет. Например вот этот материал должен помочь https://habrahabr.ru/post/231103/
Спасибо. Буду копать в этом направлении.
-
DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
Dragon_Knight писал(а):Да причём тут микротик. Это роутер а не сервер..
Вам нужно поднять свой сервер, на отдельном компьютере (достаточно тупо апача и дефолтный хост) и все запросы редиректить туда.
Прокси на https трафик Вас не спасёт и никак не поможет.
Эта затея отдельного компьютера не стОит. Так, как требования начальства выполнены (сайты заблокированы). Просто хотелось оформить всё это красиво. Буду дальше копать. Время терпит. За одно и азы html изучу. Нужную страничку вчера в блокноте "нарисовал" осталось туда заумный текст вставить.
-
DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
Здравствуйте!
Создал Address Lists с адресами ok.ru
add address=5.61.23.11 list=OK.RU
add address=217.20.147.1 list=OK.RU
add address=217.20.155.13 list=OK.RU
add address=217.20.155.16 list=OK.RU
add address=217.20.152.234 list=OK.RU
add address=217.20.156.131 list=OK.RU
Создал правило в Filter Rules для блокировки ok.ru
add action=drop chain=forward comment=OK.ru dst-address-list=OK.RU time=7h1s-17h,mon,tue,wed,thu,fri
Помогите пожалуйста создать правило в NAT чтобы при срабатывании правила в Filter Rules (в примере для ok.ru) у пользователей открывалась например страничка:
http://mysait.ru/stop.html
Создал Address Lists с адресами ok.ru
add address=5.61.23.11 list=OK.RU
add address=217.20.147.1 list=OK.RU
add address=217.20.155.13 list=OK.RU
add address=217.20.155.16 list=OK.RU
add address=217.20.152.234 list=OK.RU
add address=217.20.156.131 list=OK.RU
Создал правило в Filter Rules для блокировки ok.ru
add action=drop chain=forward comment=OK.ru dst-address-list=OK.RU time=7h1s-17h,mon,tue,wed,thu,fri
Помогите пожалуйста создать правило в NAT чтобы при срабатывании правила в Filter Rules (в примере для ok.ru) у пользователей открывалась например страничка:
http://mysait.ru/stop.html