• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Как заблокировать сайты на Mikrotik с использованием прокси


    В этот примере мы с Вами расмотрим  как заблокировать веб-узел и как остановить закачку?
    Первым делом надо подключиться к устройству. По умолчанию, конфигурация на маршрутизаторе настроена на подсеть 192.168.88.0/24. Открываем в браузере адрес, скачиваем и сохраняем на компьютере, Winbox.exe.
    Настройка прокси

    /ip proxy
    set enabled: yes
    set src-address: 0.0.0.0
    set port: 8080
    set parent-proxy: 0.0.0.0:0
    set cache-drive: system
    set cache-administrator: "webmaster"
    set max-disk-cache-size: none
    set max-ram-cache-size: none
    set cache-only-on-disk: no
    set maximal-client-connections: 1000
    set maximal-server-connections: 1000
    set max-object-size: 512KiB
    set max-fresh-time: 3d

    Теперь, сделать его прозрачным в firewall

    /ip firewall nat
    add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080


    Далее

    /ip firewall filter
    add chain=input in-interface= src-address=0.0.0.0/0 protocol=tcp dst-port=8080 action=drop

    Теперь для блокирования веб-сайтов

    /ip proxy access
    add dst-host=www.blogfreebsd.com action=deny

    Мы также можем остановить загрузку файлов с различными файлами mp3, .exe, .dat, .avi

    /ip proxy access
    add path=*.exe action=deny
    add path=*.mp3 action=deny
    add path=*.zip action=deny
    add path=*.rar action=deny

    /ip proxy access
    add dst-host=:mail action=deny

    При этом блокируются все сайты содержат слово "почта" в URL.  Пример: Это будет блокировать www.hotmail.com, mail.yahoo.com, www.rediffmail.com

    На этом все!

    Автор: admin, 4 июня 2010
    Рубрики: OS MikroTik Router, Новости
    Метки: , , , ,
    4 комментария к сообщению: “Как заблокировать сайты на Mikrotik с использованием прокси”
    1. kuzyara:

      а где настройки шейпера? весь цимус микротика именно в queues! здесь обязательно должна быть статья на эту тему.

      только что разобрался в этом благодаря ответу на форуме ixbt, вот немного материала:

      код:

      /ip firewall mangle
      add action=mark-packet chain=forward comment=»WS_packets_up» disabled=no dst-address-list=»WS» new-packet-mark=WS_packets_up out-interface=WAN passthrough=no
      add action=mark-packet chain=forward comment=»WS_packets_down» disabled=no src-address-list=»WS» new-packet-mark=WS_packets_down out-interface=LAN passthrough=no
      add action=mark-packet chain=forward comment=»nonWS_packets_up» disabled=no dst-address-list=»!WS» new-packet-mark=nonWS_packets_up out-interface=WAN passthrough=no
      add action=mark-packet chain=forward comment=»nonWS_packets_down» disabled=no src-address-list=»!WS» new-packet-mark=nonWS_packets_down out-interface=LAN passthrough=no
      Где WAN — интерфейс, смотрящий в инет, LAN — в локалку. И без всяких mark-connection обошлись а также учли как download так и upload.

      Добавим классификаторы pcq-download и pcq-upload для дальнейшего построения очередей.
      код:
      /queue type
      add kind=pcq name=pcq-download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
      add kind=pcq name=pcq-upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
      Далее сами очереди.
      код:
      /queue tree
      add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=ТВОЙ_ДАУНЛОАД name=Download packet-mark=»» parent=LAN priority=8 queue=default
      add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=ДАУНЛОАД_ДЛЯ_nonWS name=nonWSDownload packet-mark=nonWS_packets_down parent=Download priority=7 queue=pcq-download
      add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=ДАУНЛОАД_ДЛЯ_WS name=WSDownload packet-mark=WS_packets_down parent=Download priority=8 queue=pcq-download
      add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=ТВОЙ_АПЛОАД name=Upload packet-mark=»» parent=WAN priority=8 queue=default
      add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=АПЛОАД_ДЛЯ_nonWS name=nonWSUpload packet-mark=nonWS_packets_up parent=Upload priority=7 queue=pcq-upload
      add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=АПЛОАД_ДЛЯ_WS name=WSUpload packet-mark=WS_packets_up parent=Upload priority=8 queue=pcq-upload
      Где ТВОЙ_ДАУНЛОАД, ТВОЙ_АПЛОАД — реальная ширина канала, выделяемая провайдером (бит/с). Желательно померить самому. Точнее надо ставить чуть меньше, чтоб очередь образовывалась на микротике, а не на шейпере провайдера.
      ДАУНЛОАД/АПЛОАД ДЛЯ_WS/nonWS — полоса, выделяемая соответствующим классам трафика. Можно сделать равной ТВОЙ_ДАУНЛОАД/ТВОЙ_АПЛОАД если ограничение не требуется.
      Разбирался в этом уже давно, щас просто копипастил из своего конфига и менял под ваш. Основано на этом — http://www.mikrotik.com/testdocs/ros/2.9/root/queue_content.php

      подтачивал под себя.

    2. kuzyara:

      может пригодится, вот мои настройки:
      (на 2 компьютера шейпил канал, разделяя по пиоритетам внутризоновый траффик[канал 2 мбита] и внешку[1мбит])
      interface pppoe-client add name=pppoe_webstream interface=ether1 user=WS0378897 password=D17B180C30 use-peer-dns=yes add-default-route=yes disabled=no
      ip address add address=192.168.0.88/24 interface=ether1
      ip dns set primary-dns=192.168.0.88 allow-remote-requests=yes

      ip pool add name=dhcp-pool ranges=192.168.0.50-192.168.0.60
      ip dhcp-server add name=ether1 address-pool=dhcp-pool interface=ether1 disabled=no
      ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.88 dns-server=192.168.0.88
      ip dhcp-server lease add address=192.168.0.90 mac-address=00:0C:29:FC:07:2C server=ether1 comment=address_wmvare_windows disabled=no lease-time=0
      ip dhcp-server lease add address=192.168.0.91 mac-address=00:0C:29:E1:B9:1F server=ether1 comment=address_wmvare_windows2 disabled=no lease-time=0

      ip firewall nat add chain=srcnat out-interface=pppoe_webstream action=masquerade

      ip firewall mangle add action=mark-packet chain=forward comment=»1WS_packets_up» disabled=no dst-address-list=»WS» src-address=192.168.0.90 new-packet-mark=1WS_packets_up out-interface=pppoe_webstream passthrough=no
      ip firewall mangle add action=mark-packet chain=forward comment=»1WS_packets_down» disabled=no src-address-list=»WS» dst-address=192.168.0.90 new-packet-mark=1WS_packets_down out-interface=ether1 passthrough=no
      ip firewall mangle add action=mark-packet chain=forward comment=»1nonWS_packets_up» disabled=no dst-address-list=»!WS» src-address=192.168.0.90 new-packet-mark=1nonWS_packets_up out-interface=pppoe_webstream passthrough=no
      ip firewall mangle add action=mark-packet chain=forward comment=»1nonWS_packets_down» disabled=no src-address-list=»!WS» dst-address=192.168.0.90 new-packet-mark=1nonWS_packets_down out-interface=ether1 passthrough=no

      ip firewall mangle add action=mark-packet chain=forward comment=»2WS_packets_up» disabled=no dst-address-list=»WS» src-address=192.168.0.91 new-packet-mark=2WS_packets_up out-interface=pppoe_webstream passthrough=no
      ip firewall mangle add action=mark-packet chain=forward comment=»2WS_packets_down» disabled=no src-address-list=»WS» dst-address=192.168.0.91 new-packet-mark=2WS_packets_down out-interface=ether1 passthrough=no
      ip firewall mangle add action=mark-packet chain=forward comment=»2nonWS_packets_up» disabled=no dst-address-list=»!WS» src-address=192.168.0.91 new-packet-mark=2nonWS_packets_up out-interface=pppoe_webstream passthrough=no
      ip firewall mangle add action=mark-packet chain=forward comment=»2nonWS_packets_down» disabled=no src-address-list=»!WS» dst-address=192.168.0.91 new-packet-mark=2nonWS_packets_down out-interface=ether1 passthrough=no

      queue type add kind=pcq name=pcq-download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
      queue type add kind=pcq name=pcq-upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000

      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=1000000 name=Download packet-mark=»» parent=ether1 priority=8 queue=default
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=500000 name=Upload packet-mark=»» parent=pppoe_webstream priority=8 queue=default

      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=1000000 name=1nonWSDownload packet-mark=1nonWS_packets_down parent=Download priority=7 queue=pcq-download
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=1000000 name=1WSDownload packet-mark=1WS_packets_down parent=Download priority=8 queue=pcq-download
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=500000 name=1nonWSUpload packet-mark=1nonWS_packets_up parent=Upload priority=7 queue=pcq-upload
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=500000 name=1WSUpload packet-mark=1WS_packets_up parent=Upload priority=8 queue=pcq-upload

      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=1000000 name=2nonWSDownload packet-mark=2nonWS_packets_down parent=Download priority=7 queue=pcq-download
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=1000000 name=2WSDownload packet-mark=2WS_packets_down parent=Download priority=8 queue=pcq-download
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=500000 name=2nonWSUpload packet-mark=2nonWS_packets_up parent=Upload priority=7 queue=pcq-upload
      queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=100000 max-limit=500000 name=2WSUpload packet-mark=2WS_packets_up parent=Upload priority=8 queue=pcq-upload

      ip fi a a list=WS address=87.103.128.0-87.103.132.255
      ip fi a a list=WS address=87.103.133.0-87.103.143.255
      ip fi a a list=WS address=87.103.172.0-87.103.175.255
      ip fi a a list=WS address=87.103.240.0-87.103.255.255
      ip fi a a list=WS address=90.188.224.0-90.188.231.255
      ip fi a a list=WS address=90.188.232.0-90.188.235.255
      ip fi a a list=WS address=90.188.236.0-90.188.255.255
      ip fi a a list=WS address=90.189.128.0-90.189.255.255
      ip fi a a list=WS address=92.124.0.0-92.124.63.255
      ip fi a a list=WS address=92.125.128.0-92.125.255.255
      ip fi a a list=WS address=92.126.0.0-92.126.63.255
      ip fi a a list=WS address=193.16.106.0-193.16.106.255
      ip fi a a list=WS address=195.46.100.0-195.46.100.255
      ip fi a a list=WS address=195.46.101.0-195.46.102.255
      ip fi a a list=WS address=195.46.104.0-195.46.109.255
      ip fi a a list=WS address=195.46.111.0-195.46.111.255
      ip fi a a list=WS address=195.46.112.0-195.46.127.255
      ip fi a a list=WS address=195.46.96.0-195.46.96.255
      ip fi a a list=WS address=195.46.99.0-195.46.99.255
      ip fi a a list=WS address=213.228.112.0-213.228.119.255
      ip fi a a list=WS address=213.228.122.0-213.228.127.255
      ip fi a a list=WS address=213.228.64.0-213.228.95.255
      ip fi a a list=WS address=213.228.96.0-213.228.103.255
      ip fi a a list=WS address=217.70.96.0-217.70.127.255

    3. borz:

      а есть фильтр по имени к примеру есть xxx.gif или директория xxx/ ?

    4. Verba:

      На своем микротике пока реализовал только вебпрокси, но с очень хорошим правилом))
      add path=*flash* action=deny
      Это правило сводит на нет просмотр онлайн видео, и смысл в развлекательных и порно ресурсах теряется.

    Написать комментарий

    Последние статьи