Страница 1 из 1
Блокировка "youtube" проблема
Добавлено: 10 фев 2018, 15:42
x4m
При блокировке "youtube" с помощью add DN to address-lists+правило на сброс соединения , выяснилось что сервера "youtube" делят IP c "google docs". Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google. Да L7 пробовал, ситуация примерно идентична только со временем дальше поисковой машины google уйти нельзя
. Спасибо.
Re: Блокировка "youtube" проблема
Добавлено: 10 фев 2018, 21:04
vqd
Например добавить статическую запись в ДНС которая будет ссылатся на несуществующий адрес или на тот же 127.0.0.1
Re: Блокировка "youtube" проблема
Добавлено: 11 фев 2018, 09:57
Cheredov
/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src
Re: Блокировка "youtube" проблема
Добавлено: 11 фев 2018, 10:03
vqd
Вот это мега адский костыль
Re: Блокировка "youtube" проблема
Добавлено: 11 фев 2018, 10:43
Cheredov
А добавление статической записи в ДНС чем поможет, если у юзера указан другой ДНС?
[UPD] Хотя можно пакеты на 53 порт направить на свой ДНС...
Ну в общем с записью в ДНС проще, но в случае запрета для конкретного ip или mac уже не выйдет.
Re: Блокировка "youtube" проблема
Добавлено: 11 фев 2018, 20:04
maxkerch
x4m писал(а): ↑10 фев 2018, 15:42
Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);
попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
Re: Блокировка "youtube" проблема
Добавлено: 12 фев 2018, 18:52
x4m
vqd писал(а): ↑10 фев 2018, 21:04
Например добавить статическую запись в ДНС которая будет ссылатся на несуществующий адрес или на тот же 127.0.0.1
Забыл упомянуть, клиенты в адрес листах поделены на две группы с полным и ограниченным доступом, но если создать дополнительную под-сеть на полный доступ или руками DNS ввести на клиенте
, но для меня это крайность. Буду знать. Спасибо.
Cheredov писал(а): ↑11 фев 2018, 09:57
/ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
Прекрасно работает. Также можно добавить конкретный ip или mac юзера в src
Тестирую, резать начинает с задержкой, но работает как нужно. Спасибо.
maxkerch писал(а): ↑11 фев 2018, 20:04
x4m писал(а): ↑10 фев 2018, 15:42
Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);
попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
Почему-то как только в правиле указываю адрес-лист клиентов с ограничениями, перестает работать.
Re: Блокировка "youtube" проблема
Добавлено: 12 фев 2018, 20:48
KARaS'b
maxkerch писал(а): ↑11 фев 2018, 20:04
x4m писал(а): ↑10 фев 2018, 15:42
Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);
попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
Почему-то как только в правиле указываю адрес-лист клиентов с ограничениями, перестает работать.
Попробовал и с адреслистом и с прям ip, оба варианта работают.
Важно! При проверке, особенно после неудачи, перед следующей попыткой, обязательно рвите соединения и перезапускайте браузер, бо, во-первых, правило дропает новые соединения, а у вас уже установленное, во-вторых, очень вероятно, что даже после удачной отработки правила браузер вам может показать кэшированную страницу и вы будете думать, что ничего не получилось.
Re: Блокировка "youtube" проблема
Добавлено: 12 ноя 2018, 16:58
petr.famin
maxkerch писал(а): ↑11 фев 2018, 20:04
x4m писал(а): ↑10 фев 2018, 15:42
Подкиньте пожалуйста идею как закрыть "youtube" не отрезая другие сервисы google.
6.41.1 (* firewall - fixed "tls-host" firewall feature (introduced v6.41);
попробуйте так, /ip fi fi add chain=forward action=reject reject-with=tcp-reset protocol=tcp dst-port=443 tls-host=*.youtube.com
Прошивка 6.42.7
Добавил ваше правило, все равно не работает блокировка, куда копать?
http://prntscr.com/lhdz8v