Фильтрация HTTPS трафика в сети

Тема в разделе "Общие вопросы", создана пользователем Bansardo, 29 сен 2017.

  1. Dmitry_S

    Dmitry_S Участник

    странная схема... запрос днс поступает на микротик (шлюз), отфутболивается во внутреннюю сеть (на DC), затем снова через микротик проходит на днс провайдера...
     
  2. Bansardo

    Bansardo Участник

    В чем странность? На микротик->днс внутри->днс провайдера->микротик. Так большинство сетей построены. А иначе как обеспечить норм функционал AD? Доменные сети подразумевают использование локального днс сервера как основного...
    Днс провайдера в ретранслите роли днс сервера прописаны.
    Можно фигануть сразу напрямую ип днс сервера в локалке через опции dhcp в микротике... все равно нифига не фильтруется...
     
  3. Dmitry_S

    Dmitry_S Участник

    Не совсем понял, как вы схему описали. Странность в том, что запрос к микротику два раза идет
    А зачем микротику фукционал AD?
    На клиентах в сети указываются ДНСы AD
    На микротике прописываются ДНСы провайдера
    На ДНСе AD пропиываете в приоритет редирект либо на микротик, либо на ДНСы провайдера (если не хотите что бы микротик выступал днс-ретранслятором. в любом случае, днс-трафик пойдет через микротик)
     
  4. Bansardo

    Bansardo Участник

    сделал, сайты побежали открываться все и сразу...
    в микротике ip->DNS написал DNS провайдера.
    на сервере в серверах пересылки указал IP микротика
    в микротике ip -> DHCP servers -> указал DNS servers адрес сервера с ролью DNS внутри сети

    Я уже задолбался, не могу понять какого сайты начинают открываться, как только я прописываю в ip -> DNS внешние ДНС серверы провайера

    Это правило не дает резолвить DNS серверу внутреннему запросы из своей подсети. Как только появляются в параметрах микротика другие DNS он через них спокойно это все резолвит. Соответственно, не могу понять как сделать чтобы работали address lists, потому как ему пофиг откуда прилетит запрос, все равно внутренний DNS подпадает под это правило...
     
    Последнее редактирование: 2 ноя 2017
  5. Dmitry_S

    Dmitry_S Участник

    Всё, что я писал выше, к проблеме фильтрации не относится! Это было только предложение по организации ДНС

    Теперь о фильтрации. У меня работает вот такой вариант:
    Код:
    /ip firewall layer7-protocol
    add name=social regexp=\
        "^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|ok.ru).*\\\$"
    
    /ip firewall filter
    add action=reject chain=forward comment="Social Network" disabled=yes \
        layer7-protocol=social reject-with=icmp-network-unreachable
     
    a9265211819 нравится это.
  6. sinaptik

    sinaptik Новый участник

    Вот рабочий пример, ресурс флеши не использует, адрес листы временные-динамические.

    Код:
    :foreach i in=[/ip dns cache all find where (name~"facebook" || name~"instagram.com" || name~"twitter" || name~"livejournal.com" || name~"viber.com" || name~"telegram.org" || name~"vkrugudruzei" || name~"mirtesen" || name~"torrent" || name~"tracker" || name~"whatsapp" || name~"linkedin.com" || name~"my.mail.ru" || name~"tlgrm") && (type="A") ] do={
    :local tmpAddress [/ip dns cache get $i address];
    delay delay-time=20ms
    #prevent script from using all cpu time
    :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
    :local cacheName [/ip dns cache get $i name] ;
    :log info ("added entry: $cacheName $tmpAddress");
    /ip firewall address-list add address=$tmpAddress list=block timeout=24h comment=$cacheName;
    }
    }
    
     
    Денис Друженков нравится это.
  7. NikNikols

    NikNikols Новый участник

    В версии RouterOS 6.41 стало возможным фильтровать https трафик. Например, для блокирования example.com можно использовать правило:

    Код:
    /ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*.example.com action=reject
     
  8. Мышаня

    Мышаня Участник

    Это вот это в changelog?
    firewall - added "tls-host" firewall matcher
     
  9. NikNikols

    NikNikols Новый участник

    Да. И в Вики появилось
    https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Properties

    Вот оригинальный текст (англ)

     
    a9265211819 и Денис Друженков нравится это.
  10. Мышаня

    Мышаня Участник

    А появилась ли возможность блочить tls адрес-листом? Или по паре правил на ресурс писать? Как-то концептуально некрасиво получается