нужна помощь в firewall

Друзья, всем дня!

Вопрос будет в самом конце)

Роутер А имеет статик ip и 2 опубликованных порта в wan
Роутер Б имеет подключение L3 к роутеру А и ip камеру в локалке. Порт форвардинг в wan отсутствует

Маршрутизация до ip камеры:
89.223.43.1**:80,8000 А -> L3 tunnel over internet -> Б -> 192.168.1.100:80,8000

Есть правила нацеленные на сбор dst адресов в цепочке "от камеры" по следующим критериям в L7

add comment="hik ban" name="Hik analize & ban" regexp="^.+(Unauthorized|401|Authentication Error).*\$"
Отбор dst адресов

add action=add-dst-to-address-list address-list="Hik auto ban" address-list-timeout=8w4d chain=forward comment="hik unauthorize login collect" dst-address=!192.168.1.0/24 layer7-protocol="Hik analize & ban"
Добавление адресов в лист

add action=reject chain=input comment="hik unauthorize login ban" dst-address-list="Hik auto ban" in-interface=ether1 reject-with=icmp-network-unreachable
реакция


На роутере А (где опубликованы порты) лист по критериям l7 наполняется адресами. Ок
На ротере Б (где нет открытых портов) лист наполняется так же, но адреса разные. Значит косяк в firewall, так?

Все фильтры роутер А

Спойлер: тыц

add action=drop chain=input comment="drop invalid input" connection-state=invalid
add action=add-dst-to-address-list address-list="Hik auto ban" address-list-timeout=8w4d chain=forward comment="hik unauthorize login collect" dst-address=!192.168.1.0/24 layer7-protocol="Hik analize & ban"
add action=reject chain=input comment="hik unauthorize login ban" dst-address-list="Hik auto ban" in-interface=ether1 reject-with=icmp-network-unreachable
add action=accept chain=input comment="Allow Btest" dst-port=2000 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="allow established from wan" connection-state=established in-interface=ether1
add action=accept chain=input comment="allow related from wan" connection-state=related in-interface=ether1
add action=accept chain=input comment="allow icmp from wan" in-interface=ether1 protocol=icmp
add action=accept chain=input comment="allow remote winbox" dst-port=8291 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="accept osfp for all ppp" in-interface=all-ppp protocol=ospf
add action=accept chain=input comment="allow l2tp tunnel" dst-port=1701 in-interface=ether1 protocol=udp
add action=drop chain=input comment="drop all from wan" in-interface=ether1 log-prefix="drop all from wan"
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=forward comment="drop forward invalid" connection-state=invalid

Все фильтры роутер Б

Спойлер: тыц

add action=drop chain=input comment="drop input invalid" connection-state=invalid
add action=add-dst-to-address-list address-list="Hik auto ban" address-list-timeout=8w4d chain=forward comment="hik unauthorize login collect" dst-address=!192.168.1.0/24 layer7-protocol="Hik analize & ban"
add action=add-dst-to-address-list address-list="igmp collect bad dst" address-list-timeout=0s chain=input comment="igmp collect bad dst" dst-address=!233.166.172.0/24 in-interface=ether1 protocol=igmp
add action=add-dst-to-address-list address-list="igmp collect" address-list-timeout=0s chain=input comment="igmp collect" in-interface=ether1 protocol=igmp
add action=accept chain=input comment="accept osfp for all ppp" in-interface=all-ppp protocol=ospf
add action=reject chain=input comment="hik unauthorize login ban" dst-address-list="Hik auto ban" in-interface=ether1 reject-with=icmp-network-unreachable
add action=reject chain=forward comment="drop cdn ip list dst" dst-address-list=cdn protocol=tcp reject-with=tcp-reset
add action=drop chain=forward comment="drop stat snif ip list dst" dst-address-list="stat snif"
add action=accept chain=input comment="accept igmp from wan" in-interface=ether1 protocol=igmp
add action=drop chain=input comment="drop bogon" in-interface=ether1 src-address-list=BOGON
add action=accept chain=forward comment="accept forward igmp to lan" dst-address=233.166.172.0/24 dst-address-list="igmp group dst" dst-port=1234 protocol=udp
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=drop chain=input comment="drop all from WAN" in-interface=ether1 log-prefix=2222222222222222
add action=drop chain=forward comment="drop forward invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

 

Вчера заметил в накопленных адресах ip dns провайдера, а еще и ip принтера который вообще сидит за 2 туннелями с ospf от роутера Б. Это он широковещательные запросы делает?

 

Друзья, всем дня!

Что я делаю не так?

/ip firewall filter
add action=drop chain=forward dst-address-list=youtube.com
/ip firewall address-list
add address=youtube.com list=youtube.com

и без вопросов захожу на ютуб.

 

Тоже самое из всех браузеров.
Пока удается заблокировать по критерию content:youtube
По ip адресам ни как. Даже если добавить youtube.com в static dns, все равно работает)

 

На какие адрес ломиться ?

 

Кто? Хост? Не знаю) Этож надо снюфером смотреть

 

Коннекшен трекер тоже достаточно удобный инструмент, для этих целей.

 

Доброго времени суток! Создал правила в Firewall (add action=drop chain=input comment="Drop ALL wan" connection-state=new in-interface=wan) и обратил внимание на то, что "Bytes" увеличивается каждые 2 секунды. Включил лог чтоб посмотреть. И хотелось бы получить совета, что это?

 

Мне кажется что вся загвоздка в протоколе https который использует youtube (Как известно, «посмотреть» https-url без раскрытия сертификата, т.е. по сути его подмены, нельзя). Либо попробовать прописать все ip адреса которые использует youtube в Address list.

 

Вообще похоже на работу протокола DHCP, только как он к вам прилетает на WAN для меня загадка.
Port 67 Bootps
Port 68 Bootpc

 

Если Layer7 привольно настроен, то он блочит и https, т.к. он заблокирует все запросы к данному ресурсу до установления сессии https. Т.к. как минимум будет запрос DNS по UDP 53 порт, который будет заблокирован.

 

Дык в с этого все и началось)

nslookup youtube.com
Address: 127.0.0.1
с хоста к ройтеру (запись в static dns присутствует)
----------------------------------------------------------------------------------------
2a00:1450:4010:c0b::5b
173.194.222.136
173.194.222.190
173.194.222.93
173.194.222.91
с хоста через ройтер к dns провайдера (запись static dns отсутствует)
----------------------------------------------------------------------------------------
: рut [:resolve youtube.com server=89.223.47.133]
173.194.221.91
с ройтера к dns провайдера
----------------------------------------------------------------------------------------
при этом
add action=add-dst-to-address-list address-list=youtube.com address-list-timeout=0s chain=forward content=youtube
youtube.com 173.194.222.198
youtube.com 173.194.221.198

такая вот... Ситуация)

 

Блокировка youtube от Janis Megis (MikroTik, Latvia) - MUM 2017

/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"
add name=facebook regexp="^.+(facebook).*\$"

/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

 

Есть аналогичное супротив анонимайзеров?

 

А кто вам мешает вместо youtube поставить noblockme или подобные ? Не забудьте еще про VPN сервисы, которые расширением в браузер можно установить...
Вообще что-то блокировать, мне кажется, это тупиковый путь, лучше логировать )

 

их количество)

административно запрещено

=)