Как создать Белый список сайтов?

Тема в разделе "Вопросы начинающих", создана пользователем User31, 15 фев 2016.

Страница 2 из 2
  1. АндрейМ

    АндрейМ Новый участник

    А можно правило (сам фильтр) озвучить? С заглушкой на лупбек это все понятно.. О чем речь понял но не понял на каком этапе? На l7?

    Понятно что найду в сети как это сделать но интересен Ваш вариант, т.к у Вас сделано "красиво". К примеру, на запрет (черн список) в сети примеров туча, но все в лоб - через фильтр, а вот с маркером соединения это красиво а не в лоб!
     
    Последнее редактирование: 27 янв 2017
    АндрейМ, 27 янв 2017
    #21
    WiFi аудит склада: выявляем существенные ошибки в построении беспроводной сети
    WiFi аудит склада: выявляем существенные ошибки в построении беспроводной сети
    Построение Wi-Fi в загородном доме по технологии Mesh, или «Что делать, если в здании отсутствует СКС?»
    Построение Wi-Fi в загородном доме по технологии Mesh, или «Что делать, если в здании отсутствует СКС?»
    Wi-Fi в аренду для презентации
    Wi-Fi в аренду для презентации
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Как идея, я сейчас не у роутера, да и не до этого немного, так что попробуйте допилить.

    Разрешаем 2 сайта. good.site и very-good.site

    Объявляем доменные имена на L7
    Код:
    /ip firewall layer7-protocol
add name=good.site regexp=good.site
/ip firewall layer7-protocol
add name=very-good.site regexp=very-good.site
    Создаем в DNS запись на все остальное. Где 127.0.0.1 можно поменять на какой-то нужный IP.
    Код:
    /ip dns static
add address=127.0.0.1 name=.*.*
    Далее в NAT все что не подходит закидываем в локальный DNS
    Код:
    /ip firewall nat
add chain=dstnat protocol=udp dst-port=53 layer7-protocol=good.site in-interface=lan action=accept
add chain=dstnat protocol=udp dst-port=53 layer7-protocol=very.good.site in-interface=lan action=accept
#Все остальное на локальный DNS
add chain=dstnat protocol=udp dst-port=53  in-interface=lan action=redirect
    У юзера должен быть DNS отличный от адреса роутера.
    Если нет необходимости отдавать конкретный адрес сайта, можно просто блокировать DNS-запросы на запрещенные сайты.
    Бонус с NAT в том, что обрабатывается только первый пакет соединения.

    Еще вариант. В последних версиях появилась возможность в address-list писать DNS-имя. Т.е.
    Код:
    /ip firewall address-list
add address=google.com list=good-sites
add address=yandex.ru list=good-sites
/ip firewall filter 
add chain=forward protocol=tcp, dst-port=80,443 dst-address-list=!good-sites action=drop
    Но тут нужно понимать что вам придется создать
    google.com
    www.google.com
    mail.google.com и т.п.
     
    Последнее редактирование: 27 янв 2017
    Илья Князев, 27 янв 2017
    #22
  3. logotra

    logotra Новый участник

    А если задача немного усложняется и на этих двух сайтах есть ролики с ютуба, которые подтягиваются айфреймом, а не хранятся на этих сайтах?
     
    logotra, 19 май 2017
    #23
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Я так понимаю, что для того, чтобы загрузился iframe все равно надо сначала получить html от сервера?
     
    Илья Князев, 22 май 2017
    #24
  5. logotra

    logotra Новый участник

    Какую именно страницу от сервера?
    Опишу еще раз задачу.
    Есть сайт good.com на который нужно дать разрешение группе компьютеров, весь остальной доступ закрыть.
    На этом сайте есть видео ролики, которые подгружаются с ютуба iframe'мом и поскольку микротик разрешает только good.com то вместо ролика идет 500 ошибка. Сайт в любом случае прогружается, но вместо роликов, повторюсь снова белые квадраты. Как разрешить этот сайт good.com и образно релейтед соединения. Но прямые заходы на ютуб запретить.
     
    Последнее редактирование: 22 май 2017
    logotra, 22 май 2017
    #25
  6. Kato

    Kato Участник

    страницу ролика же
     
    Kato, 22 май 2017
    #26
  7. logotra

    logotra Новый участник

    Подгружается не страница, а контейнер
     
    logotra, 22 май 2017
    #27
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Никак.
     
    Илья Князев, 22 май 2017
    #28
  9. Khan_mamai

    Khan_mamai Новый участник

    Простите, я полный чайник в микротиках. У меня вопрос, пытаюсь заблокировать все сайты, и ввести разрешенные сайты. Сайты блокирую, а вот внести список разрешенных сайтов не получается. Создаю 2 правила в фаерволе, нижнее запрещает все, верхнее разрешает выйти на определенный сайт. Не работает такой вариант. Помогите пожалуйста с настройкой.
     
    Khan_mamai, 30 май 2017
    #29
  10. Денис Друженков

    Денис Друженков Эксперт

    Вопрос закрыли, по емайл.
     
    Денис Друженков, 31 май 2017
    #30
  11. Bansardo

    Bansardo Участник

    Для справки на форуме - незачем обычным хостам в сети ходить за обновлениями на майкрософт. Это создает очень большую нагрузку на канал, плюс обновления очень долго ставятся из-за долгого их получения. Также невозможно отследить "кривые" обновления, которые могут навернуть систему.
    Решение: пускаем в microsoft update только серверное оборудование, на котором развернута функция раздачи обновлений подчиненным компьютерам в сети. Сервер скачивает обновки, сист. администратор их проверяет и ставит метку что все хорошо. Далее хосты получают эти обновления по ширине сетевого канала. Все красиво, всем спокойно.
    Копать в сторону WSUS для заинтересовавшихся.
     
    Bansardo, 4 окт 2017
    #31
  12. Bansardo

    Bansardo Участник

    Не работает для https... Реально как-нибудь фильтровать?
     
    Bansardo, 15 окт 2017
    #32
Страница 2 из 2