Как создать Белый список сайтов?

Тема в разделе "Вопросы начинающих", создана пользователем User31, 15 фев 2016.

  1. User31

    User31 Новый участник

    Везде говориться, о том как блокировать некоторые сайты, но нигде не говорят о создании белого списка. Все сайты по умолчанию не должны работать, но должны только те, которые разрешены. Разрешенные сайты с HTTPS должны при этом работать корректно. подскажите пожалуйста.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Использовать Web Proxy или исопльзовать L7 Filter в файрволле, отлавливая запросы http
     
  3. User31

    User31 Новый участник

    L7 Filter - это понятно. если можно покажите подробнее на примере сайта avito.ru пожалуйста. пример для новичков. и как отлавливать запросы http ?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    ОК. Уговорили. Блокируем rambler и avito.
    1. Создаем L7 фильтр.
    Код:
    /ip firewall layer7-protocol
    add name=Block-URL regexp="^.+(rambler|avito).*\$"
    
    Далее мы не хотим проверять каждый пакет, потому что это вызывает дополнительную нагрузку на CPU. Значит метим соединение и потом блокируем соединение в файрволе.
    Следующее правило говорит "если соединение ранее не помечено, то проверяем его на L7"
    Если L7 сработал, вешаем метку Block-URL
    Если не сработал, вешаем метку Other
    Код:
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark \
        layer7-protocol=Block-URL new-connection-mark=Block-URL
    add action=mark-connection chain=prerouting connection-mark=no-mark \
        new-connection-mark=Other
    
    Ну а теперь в файрволе блокируем соединения с меткой Block-Url
    Код:
    /ip firewall filter
    add action=drop chain=forward connection-mark=Block-URL
    
    Примечание.
    Формально можно без маркировки обойтись, но это будет дороже по процессору. Тогда убираем маркировку в mangle, а фильтр переделываем на
    Код:
    /ip firewall filter
    add action=drop chain=forward layer7-protocol=Block-URL
    
     
    Kato и Vaippp нравится это.
  5. User31

    User31 Новый участник

    спасибо! Я имел в виду пример открытого доступа к сайту - avito.ru, который должен работатать, а все остальное закрыто. В приоритете над запрещенными в своем большинстве должны быть сайты разрешенные - например один сайт авито. Потом эти все строки необходимо скопировать в L7 Filter и сохранить правило? правильно я понял?
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Так поменяйте фильтр в файрволле
    Нет. Это перечень команд. Вы их можете ввести в New Terminal
     
  7. User31

    User31 Новый участник

    что может означать эта фраза? ^.*.*$
     
  8. User31

    User31 Новый участник

    подскажите, как найти new terminal чтобы туда вводить? :)
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Может обозначать регулярное выражение. Лень расписывать. В сети справочников по regexp более чем много.
    В Winbox слева в меню.
     
  10. User31

    User31 Новый участник

    я серьезно не могу найти. нажима. на кнопку new terminal происходит выход
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

  12. User31

    User31 Новый участник

    меня выкидывает из программы
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    Попробуйте обновить Winbox с сайта Mikrotik (раздел Download).
    Если не поможет - разбирайтесь с Windows.
     
  14. User31

    User31 Новый участник

    полоучилось
     
  15. User31

    User31 Новый участник

  16. Илья Князев

    Илья Князев Администратор Команда форума

    Регэкспы у вас кривоваты.
    (Точка) сопоставляется с любым символом за исключением символов новой строки: \n, \r
     
  17. User31

    User31 Новый участник

  18. Илья Князев

    Илья Князев Администратор Команда форума

    Ну логично.
    Сначала у вас перенос строки не на месте.
    Потом вставляете не в том разделе.
     
  19. АндрейМ

    АндрейМ Новый участник

    Тоже озадачился белым списком. Метод описанный выше похоже для белого не работает, в принципе понятно почему - L7 фильтрует по маске а часть пакетов проскальзывают мимо.
    Для запрещающего правила это безразлично а вот для разрешающего - проблема. Коннект устанавливается через раз, поэтому вопрос бел список остался актуальным. Есть другие варианты (дешевые)? (не прибегая к скриптингу и опросу днса с выдачей списка ip)

    К примеру, нужно разрешить компу ходить на мелкософтовские апдейт-сервера а там целая CDN сеть с ограниченным списком днсов, большинство которых по маске microsoft бьется, а остальной трафик в мир блокернуть.
     
    Последнее редактирование: 27 янв 2017
  20. Илья Князев

    Илья Князев Администратор Команда форума

    Как вариант фильтровать по маске DNS-запросы. Если он не попадает в маску - редиректить на роутер. На роутере в DNS создать regexp
    Например
    /ip dns static
    add address=127.0.0.1 name=.*.*