Блокировка сайтов по L7

Тема в разделе "Вопросы начинающих", создана пользователем MrVeter, 29 июн 2016.

  1. MrVeter

    MrVeter Новый участник

    Приветствую.
    Стоит RB2011UiAS.
    Есть задача блокировать некоторый сайты (непотребного содержания).

    Почитал темы с маркировкой пакетов в Mangle по условиям L7, но желаемое не получил.
    Сделал тестовый блок, как советовал Илья в этой теме

    Проблемы пока 2:
    1)
    Пакеты маркируются (счетчик идет), но в Filter дроп-правило не срабатывает почему-то :(, хотя остальные правила исправно работают... я его даже в самый верх перемещал - не помогает!
    Я сделал тогда правило в NAT :
    /ip firewall nat
    add action=netmap chain=dstnat comment="" connection-mark=Block-URL disabled=yes \
    to-addresses=0.0.0.0
    Такой вариант вроде работает, но, я так понимаю, это не по фен-шую? :D

    2)
    Пока не получилось отловить через L7 именно те сайты, которые требуется.
    А именно, не получилось закрыть группы внутри VK!
    Как это можно сделать? Или они как-то шифруются и L7 их не видит?
    Как пример, https://new.vk.com/moviesex
    В регэкспе пробовал разные варианты:
    ^.+(vk.com/\moviesex).*$
    ^.*(moviesex).*$
    ^.*(\/moviesex).*$

    Подскажите, где косяк?
    Экспорт каких разделов показать тут, чтобы выявить проблему?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Блокируйте по DNS как вариант.
    Например.
    1. Заворачиваем все пользовательские запросы на DNS роутера, чтобы нельзя было левый сервер прописать
    Код:
    /ip firewall nat
    add action=redirect chain=dstnat dst-port=53 protocol=udp
    
    Далее в DNS роутера перекрываем домен vk.com отправляя народ на SuperJob.ru (91.206.147.85)
    Код:
    /ip dns static
    add address=91.206.147.85 name=".*\\.\\\?vk\\.com"
    
     
  3. MrVeter

    MrVeter Новый участник

    Илья,
    Попробовал завернуть на яндекс конкретную группу:
    Код:
     add address=5.255.255.70 name=".*\\.\\\?vk\\.com.*\moviesex"  
    Не блокируется ничего :( что я неверно написал?

    Мне нужно оставить ВК открытым, но закрыть внутри ВК какие-то группы.
    Как вообще решать подобную задачу?

    Да и остались изначальные вопросы неясными:
    - почему не срабатывает правило Filter, хотя L7 распознает пакет?
    - и как написать правильно регэксп для указанного примера (блокировать конкретные страницы ВНУТРИ сайта, а сам сайт оставить доступным)? Может https не всегда ловится?
     
  4. MrVeter

    MrVeter Новый участник

    Пошерстил инет - везде подобные варианты с L7 + Firewall описаны, но НИКАК не действует на указанные мной примеры с HTTPS.
    Так эта задача не решаема получается?
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Видимо не получится. У меня получается закрыть целиком сайт, но не получается закрыть страницу на сайте.