Блокування Соціальні мереж засобами Mikrotik

Завдання блокування соціальних мереж Вконтакте, Однокласники, та й будь-яких інших сайтів, дуже просто вирішується засобами самого маршрутизатора Mikrotik. В основному, в мережі можна знайти опис вже застарілого варіанти вирішення даної проблеми з використанням L7 протоколу.

Однак, такий варіант блокування небажаних сайтів сильно навантажує процесор маршрутизатора, так як доводиться розбирати регулярні вирази, часто ще й не правильно складені в цих інструкціях. Таким чином можна заблокувати і ті сайти, які помилково теж потрапили під регулярний вираз.

Приклад такого невдалого регулярного виразу Layer7 Protocols для фільтрації соціальних мереж:

^. + (Vk.com | vkontakte | ok.ru | odnoklassniki | facebook | loveplanet | love.mail.ru). * $

Неважко помітити, що під дію даного правила, наприклад, потрапляють будь-які сайти з закінченням доменного імені * ok.ru. Плюс зросла навантаження на роутер.

Блокування cоцсетей на Mikrotik через адресні листи

У RouterOS, починаючи з версії v6.36, з’явилася можливість додавати доменні імена в адресні листи. В результаті відпала необхідність морочитися зі складанням регулярних виразів для Layer7 Protocols і такий варіант блокування небажаних сайтів практично не навантажує процесор роутера.

Насамперед додаємо потрібні сайти в адресний лист (назвемо його social). Зробити це можна і через web-інтерфейс, перейшовши в меню IP> Firewall> Address_Lists, але в даному випадку зручніше використовувати режим терміналу (теж в web-інтерфейсі):

/ Ip firewall address-list add address = vk.com list = social
/ Ip firewall address-list add address = ok.ru list = social

Вельми зручно, що соцмережі самі роблять редирект на свої короткі доменні імена, тому немає необхідності додатково прописувати vkontakte.ru або odnoklassniki.ru тощо, вони заблокують самостійно.

Залишилося додати правило блокування в фаєрвол:

/ Ip firewall filter add action = drop chain = forward src-address = 192.168.11.0 / 24 dst-address-list = social

У наведеному прикладі блокуються з’єднання для доменів vk.com і ok.ru для всієї підмережі 192.168.11.0/24. Роутер самостійно додає потрібні ip адреси, відповідні цим доменів в фаєрвол. замість drop я б рекомендував використовувати reject, так як воно швидше скидає з’єднання:

/ Ip firewall filter add action = reject chain = forward src-address = 192.168.11.0 / 24 dst-address-list = social protocol = tcp reject-with = tcp-reset

Що ще почитати про налаштування MikroTik:

Не лінуйтеся ставити лайк і підписуватися на канал Дзен і паблік Вконтакте, буде ще багато цікавого.

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию