Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik Хостинг

В этой инструкции вы узнаете, как заблокировать любой сайт в роутере MikroTik, социальную сеть одноклассники, вконтакте и т.п.

Блокирование сайтов по имени

В RouterOS 6.36 и выше откройте меню NewTerminal и выполните следующие команды для блокировки сайтов:

Cписок запрещенных сайтов можно редактировать в меню IP — Firewall на вкладке Address Lists.

Правило блокировки находится в меню IP — Firewall на вкладке Filter Rules.

Блокирование сайтов по IP-адресу


Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Блокирование социальных сетей довольно трудоемкий процесс, поскольку социальные сети открывают дубликаты своих сайтов с другими именами и IP адресами серверов. Продвинутые пользователи обходят ограничения еще с помощью сайтов анонимайзеров. Поэтому блокируя доступ к социальным сетям, вам также придется выискивать сайты анонимайзеры и тоже их блокировать.

Блокирование HTTPS сайтов

Сейчас в интернете много сайтов используют защищенный протокол https, который шифрует данные. Поэтому контент таких сайтов очень сложно фильтровать. В MikroTik RouterOS, начиная с версии 6.41.1, появилась возможность блокировать https-сайты (TLS трафик) с помощью расширения TLS SNI, называемого «TLS-HOST»

Например, чтобы заблокировать сайт youtube.com, выполните в терминале MikroTik следующие команды:

В параметре tls-host можно указывать имена сайтов, составленных с использованием синтаксиса GLOB. Этот синтаксис используют для создания подстановочных знаков в имени сайта.

Обратите внимание, что если фрейм TLS handshake будет фрагментирован на несколько TCP сегментов (пакетов), то невозможно будет сопоставить имя сайта и заблокировать его.

Блокирование сайтов с помощью статических DNS записей

Заблокировать доступ к сайту можно также, создав статическую DNS запись с названием сайта и несуществующим IP адресом для него, например 127.0.0.1. Перед именем сайта бывает автоматически приписывается www, поэтому нужно создавать две записи, например odnoklassniki.ru и www.odnoklassniki.ru

Откройте меню NewTerminal и выполните следующие команды для блокировки одноклассников:

/ip dns static add name=»odnoklassniki.ru» address=127.0.0.1 /ip dns static add name=»www.odnoklassniki.ru» address=127.0.0.1

У пользователей заблокированные сайты еще будут открываться некоторое время, потому что на компьютерах есть DNS кэш, в котором временно хранятся имена посещенных сайтов и их IP адреса. Для очистки DNS кэша на компьютере нужно запустить командную строку cmd и ввести команду ipconfig /flushdns.

Такой способ блокирования сайтов будет работать только в том случае, если пользователь использует DNS сервер центрального роутера MikroTik. Если пользователь настроит вручную другой адрес DNS сервера, то ограничение работать не будет. Поэтому все DNS запросы необходимо завернуть на наш роутер. Для этого откройте меню New Terminal и выполните следующие команды:

Читайте также:  Освоение ошибки WMI Windows 7: руководство по эффективным решениям

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect add chain=dstnat protocol=tcp dst-port=53 action=redirect

Далее перейдите в меню IP — Firewall и на вкладке NAT переместите созданные правила вверх. Теперь все DNS запросы будут идти через наш роутер.


Заблокировать соцсети mikrotik

Блокирование сайтов с помощью Proxy-сервера

Закрыть доступ к сайтам можно также с использованием прозрачного proxy-сервера MikroTik.

Разрешим использование прокси-сервера и настроим его. Для этого откройте New Terminal и выполните следующие команды:

Делаем proxy-сервер прозрачным:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

Закрываем доступ к прокси-серверу со стороны интернета:

/ip firewall filter add chain=input in-interface= protocol=tcp dst-port=8080 action=drop

Вводим команду блокировки сайта:

/ip proxy access add dst-host=www.odnoklassniki.ru action=deny

Запретить доступ к социальным сетям и прочим сайтам на маршрутизаторах Mikrotik можно несколькими способами.

Первый и наиболее эффективный

способ, это включить web-proxy, запретить в нем конкретные сайты, в фаерволе во вкладке NAT добавить правило которое будет нужные IP направлять на web-proxy.
Добавляется правило в IP — Firewall — NAT (Chain: dstnat, protocol: tcp, Dst. port: 80, Action: redirect, To Ports: 8080, в Src. Address или Src. Address List указываем кого необходимо направить на Web proxy)
Включаем Web proxy поставив галочку в IP — Web proxy — Enabled, смотрим чтобы порт был 8080.
Добавляем сайты которые нужно заблокировать в IP — Web proxy — Access (например Dst. host: vk.com, Action: deny)

Второй и один из простых

это добавить статическую DNS запись, тогда все кто подключены к маршрутизатору не смогут зайти на сайт.
Для этого необходимо нажать «IP» — «DNS» — «Add New», в поле «Name» указать домен сайта, в «Address» — 127.0.0.1.
Пример добавления через командную строку:

ip dns static add name youtube.com address=127.0.0.1
ip dns static add name www.youtube.com address=127.0.0.1
ip dns static add name name=».*.vk.com» address=127.0.0.1

Команда просмотра статических DNS записей на маршрутизаторе:

ip dns static print

Однако этот запрет можно обойти прописав вручную на компьютерах сторонний DNS сервер, например Google DNS — 8.8.8.8 и 8.8.4.4.

Третий вариант

ip firewall filter add chain=forward src-address-list=socialnetworks action=drop comment=»Social Network» disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.97 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.103 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.117 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.120 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.245 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.246 disabled=no

Четвертый вариант

через протокол седьмого уровня (все пакеты в которых будут встречаться указанные выражения будут отбрасываться, таким образом могут блокироваться даже сообщения в чате, в которых встречаются выражения):

Читайте также:  Разблокируйте плавный анализ данных с помощью программы установки Windows Filebeat

ip firewall layer7-protocol add name=social regexp=»^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*$»
ip firewall filter add action=drop chain=forward comment=»Block_social» layer7-protocol=social src-address-list=Block_social


Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect add chain=dstnat protocol=tcp dst-port=53 action=redirect


Заблокировать соцсети mikrotik

Проброс портов в роутере MikroTik

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).


Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Внутри подсети есть IP-камера с адресом 192.168.88.250, у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.


Заблокировать соцсети mikrotik

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000, мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке — это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже:


Заблокировать соцсети mikrotik

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24

Далее обращения из интернета к порту 10000, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 80.

/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80

Созданные правила можно посмотреть в меню IP — Firewall на вкладке NAT.


Заблокировать соцсети mikrotik

Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.


Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554, поэтому его нужно пробросить в роутере MikroTik.

Обращения из интернета к порту 554, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554.

/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554

Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс. В ОС Windows в VLC media player нужно открыть меню Медиа — Открыть URL.

Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.

Читайте также:  Откройте для себя возможности выделенного сервера: повысьте производительность вашего сайта


Заблокировать соцсети mikrotik

Далее нажмите Открыть сетевой ресурс. В нижней части появится миниатюра видео с камеры. Нажмите на нее.

После этого видео на планшете откроется в полноэкранном режиме.


Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

Все админы сталкивались с проблемой когда начальник даёт задачу заблокировать социальные сети. Есть два пути:

1. Установить, настроить софт, который контролирует и блокирует доступ к определенным сайтам. Но все упирается в цену вопроса. Если организация готова заплатить от 10 000 рублей, то это облегчает борьбу с соц.сетями. Тут нужно разбираться с настройками антивируса. Для блокирования социальных сетей нужно покупать бизнес пакеты антивирусов Касперский, Эссет Нод32, Доктор ВЭБ. Минусы этого решения:

2. Используем инструментарий который дает нам RouterOS и маршрутизаторы Mikrotik

Я предполагаю, что у вас уже есть этот удивительный и надежный от латвийского бренда Mikrotik. Если вы еще не успели его приобрести, то покупайте тут.

Этот скрипт можно не только использовать для блокирования социальных сетей, а так же для других. У меня реализовано два таких скрипта. Один ищет и заносит в список блокирования социальные сети, а другой игры и также заносит во второй список для блокирования.

Итак, перейдем к настройке Mikrotik для работы со скриптом:

1. Добавляем скрипт

Программой Winbox цепляемся к Mikrotik. Идем в System, нажимаем на пункт меню Skript


Заблокировать соцсети mikrotik

Открывается окно со всеми скриптам которые у вас работают.


Заблокировать соцсети mikrotik

Для того, чтобы добавить новый скрипт нажимаем на плюсик:


Заблокировать соцсети mikrotik

Пишем в поле «Name» название скрипта. Далее в поле «Source» вставляем скрипт, который вы отсюда скопировали. У нас должно получиться как показано на следующем скрине.


Заблокировать соцсети mikrotik

Для того, чтобы наш скрипт работал автоматически, нужно настроить расписание задач.

2. Настраиваем расписание задач

Для того, чтобы настроить автоматическое срабатывание скрипт, нужно настроить Sheduler Mikrotik

Для этого мы идем в пункт меню System, выбираем подпункт Sheduler


Заблокировать соцсети mikrotik

Нам открывается окно со всеми задачами, которые у нас работают на роутере. Далее нажимаем на плюсик для того, чтобы добавить новую задачу.


Заблокировать соцсети mikrotik

Нам открывается новое окно для добавления задачи.


Заблокировать соцсети mikrotik

Заблокировать соцсети mikrotik

И в конце нам осталось настроить фаервол

3. Настройка фаервола

Где src-address-list=!»dostup na sots seti» говорит что правило работает для всех адресов, кроме забитых в адреслист «dostup na sots seti» (т.е. там хранятся адреса тех кому можно ходить на соц сети). И обращаю внимание на action — стоит reject,  это для того что бы браузер не «повисал» когда обращается к этим адресам, а сразу выдавал ошибку о том что сеть не доступна.

Оцените статью
Хостинги