Интернет таит в себе массу опасностей, особенно для неокрепших умов подрастающего поколения. Но мало кому из родителей удается оградить свое чадо от вредной информации путем запретов и увещеваний. 90% школьников с легкостью обманывают папу с мамой и продолжают посещать недетские ресурсы.
Использованием Интернета в ненадлежащих целях «грешат» и взрослые. Ошибки офисных работников нередко возникают потому, что 50% времени они заняты не делом, а социальными сетями.
Решить проблему радикально помогает только одно средство — блокировка нежелательных ресурсов. Читайте, как заблокировать сайт от детей и нерадивых взрослых восемью проверенными способами.
- Проект закона уже зарегистрирован
- oleg Expert Вирусоборец
- oleg Expert Вирусоборец
- oleg Expert Вирусоборец
- oleg Expert Вирусоборец
- oleg Expert Вирусоборец
- Поделиться этой страницей
- Распределение устройств по группам
- Блокировка нежелательных ресурсов
- Ограничение времени доступа в интернет при помощи функции Kid Control
- Ограничение времени доступа в интернет при помощи брандмауэра
- //compconfig. ru/wp-content/uploads/2017/01/05-rasshireniya-Block-Site. png» data-wpel-link=»internal»><span itemprop="image" itemscope="" itemtype="https
- На роутере
- Через DNS
- С помощью статических маршрутов
- Блокировка через файл Hosts
- Хитрости, которые помешают пользователю удалить вашу запись в Hosts
- С использованием локальных политик IP-безопасности (IPSec)
- C помощью брандмауэра Windows или стороннего файервола
- В браузерах
- Средствами родительского контроля
Проект закона уже зарегистрирован
В Госдуме предложили новую инициативу — запрет бизнесом в заблокированных в России социальных сетях. В рамках проекта закона №158779-8 предлагается внести изменения в ст. 7 ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Сам проект уже зарегистрирован в Госдуме и отправлен в комитеты.

«Запрещается принимать на обслуживание, а также осуществлять операции с денежными средствами и иным имуществом по поручению лиц, оказывающих услуги с использованием сайта в сети «Интернет», в случае, если доменное имя этого сайта, указатель страницы этого сайта содержатся в Едином реестре доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», — говорится в пояснительных документах к проекту закона.

Если вы хотите закрыть один или несколько сайтов для своих домашних — то представленное ниже хоть и рабочее решение, но подобные задачи можно решать гораздо более простым методом. Данная же инструкция для небольших (или больших) офисов с большим количеством компьютеров и более гибкими задачами.
Будем рассматривать задачу блокировки исключительно при помощи Mangle и Layer7
Шаг первый
Создаем регулярное выражение под конкретную социальную сеть. (вы меняете на то что вам нужно)
Для примера будет взят ресурс youtube
На картинке цифрами обозначен порядок действий.

Выбираем «IP» (1) -> «Firewall» (2) -> «Layer7 Protocols» (3) -> Нажимаем на синий плюсик (5) -> В поле «Name» вводим произвольное имя, мы выбрали «youtube» -> В окно «Regexp:» вводим следующую регулярку — ^.+(youtube).*$
(На картинке нет шага под номером 4 — провтыкал когда готовил изображение. А когда заметил — было лень переделывать.)
То же самое можно сделать через терминал
/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"
Шаг второй
Создадим пару правил для маркировки нужных нам пакетов.
Наша задача — «выхватить» и пометить из общего потока запросов идущих к DNS серверу соединения с просьбой «разрезолвить» адреса содержащие в своем теле сочетание букв «youtube»
(заморочено и заумно получилось, но можно не читать, а просто делать.)

Переходим на вкладку «Mangle» и нажимаем на плюсик
Вкладка «General»

Выбираем: chain -«prerouting», протокол — «udp», destination port — «53», connection mark — «no-mark»
Вкладка «Advanced»

Layer7 Protocol — в выпадающем окне выбираем имя созданного нами правила, в нашем случае «youtube»
Теперь из выбранных соединений нам нужно создать более узкий фильтр — выбрать нужные нам пакеты
Снова на вкладке «Mangle» нажимаем на плюсик и создаем второе правило

На вкладке «General» выбираем:
Chain — «prerouting», Connection Mark — выбираем те пакеты, которые мы промаркировали в первом правиле — в нашем случае «youtube_conn»

На вкладке Action выбираем:
Action — mark packet, new packet mark — произвольное имя — мы выбрали «youtube_packet»
Нажимаем «OK» — и второе правило мы победили.
В итоге должно получиться что то похожее как на картинке ниже.

Шаг третий
Создаем правило блокировки пакетов которые мы нашли и пометили выше.
Переходим на вкладку «Filter Rules»

Нажимаем на плюсик и создаем новое правило

Chain — forward, packet mark — выбираем фильтр пакетов который создали ранее — «youtube_packet»

Вкладка Action выбираем
Action — «drop»
Нажимаем «OK»
Если все прошло по плану — появится соответствующе правило.
Пробуем зайти на youtube и убедиться что зайти мы не можем.
(тут хочу обратить внимание — есть один нюанс- если вы прежде чем писать правила заходили на youtube и сейчас написав и активировав правила фильтрации проверяете — и с печалью видите что по прежнему заходите на сайты youtubа — все не так плохо.
Нужно для начала зайти во вкладку Connections — и удалить текущие сессии. И все заработает. Или просто подождать некоторое время что бы сессия закрылась по таймауту)
Всем привет! Я системный администратор, на работе столкнулся с проблемой соц. сетей. Начальство просит закрыть доступ к контакту и одноклассникам. Подскажите, как можно это сделать? Офисы удаленные.

oleg
Expert
Вирусоборец
Доброе время суток!
Закрыть соц.сети можно:
1) Если у вас используется в сети «прокси-сервер» (можно блокировать например по маске\рег.выражиням\имени домена\).2) Если у вас в сети есть файрвол на шлюзе, т.е. методом блокировки по IP адресу или по (имени домена — если присутствует в вашей сети DNS сервер).
Сразу оговорюсь, что это занятие бесполезное, по скольку в сети существует множество прокси-серверов, которые используются для обхода подобных запретов.
3) Самый действенный способ, это запретить ходить по всем сайтам, кроме определенных. (т.е. доступ разрешен будет только на конкретные сайты).
Этот метод работает исключительно!4) Самый лучший по моему мнению способ: дать расписку пользователю, о том, что, ему запрещено посещать социальные сети в рабочее время. При нарушении к пользователю будут применяться штрафные санкции, в виде $$$ от зар.платы.
мне нужно всего-навсего отчитаться перед начальством за проделанную работу, а то, что они зайдут — не волнует.
из способов не понял почти ничего, слова для меня сложные.
dns? прокси? нету прокси точно.третий способ не покатит, сказал начальник

oleg
Expert
Вирусоборец
в таком случае firewall вам в помощь.
Про прокси сервер можно почитать в google.
Если у вас используется Windows 7 на рабочих станциях сотрудников, то можно обойтись встроенным брандмауером, используя URL фильтрацию.Как вариант, можете установить на шлюз ««, это платный продукт, в его функционале есть все необходимое, для блокировки и фильтрации трафика.
У вас пользователи через что в инет выходят? Может у них в филиалах стоит роутер, то обычно в них есть настройки фильтрации.
win7 лицензия у всех, покопаюсь в url-фильтрации брандмауэра. Спасибо!
У многих роутер, у некоторых — модемы Мегафон (usb-модемы в виде флешки)
Долго гуглил и читал про фильтрацию портов в брандмауэре, ни слова не понял. Кто может по-простому объяснить? Что за правила, группы, объекты?

oleg
Expert
Вирусоборец
прочтите материал по
Спасибо! Статья хорошая, но есть ли способ по-проще? Скажем, в KIS2013 (стоит везде лицензия) через настройки веб-экрана? Я так понимаю, там можно поставить пароль на запрет изменения конфигурации каспера. Или это уже лучше поспрашивать на форуме касперского?

oleg
Expert
Вирусоборец
Да, можно средствами касперского, вот например с наглядным примером как это делается в KIS 2013
а вот мне интересно можно ли в ADSL модем прописать список сайтов запрещенных система соединения BRIDGE или нет смысла и стоит прописать в hosts файл на пк?

oleg
Expert
Вирусоборец
Для начала надо понять какая у вас модель ADSL модема, возможно его прошивка не включает подобный функционал. Вообще, модели такие продаются, где можно вводить подобные запреты. Либо ставьте в разрыв между вашей сетью и модемом Прокси-сервер например — SQUID или траффик инспектор, он очень гибко настраивается.
И последний вариант это добавление записи в файле hosts — вы совершенно правильно выразились.p.s. и еще вариант, это конечно же блокировка встроенным Брандмауэром Windows.
Последнее редактирование: 5 мар 2014
Кому в офисе не стоит блокировать доступ к соцсетям и как его можно правильно настроить для всех остальных: https://megamozg.ru/company/smart_soft/blog/19902/
Этот способ не катит когда начальника говорит мне оставь доступ, а еще моей дочурке итд
Поделиться этой страницей


Все админы сталкивались с проблемой когда начальник даёт задачу заблокировать социальные сети. Есть два пути:
1. Установить, настроить софт, который контролирует и блокирует доступ к определенным сайтам. Но все упирается в цену вопроса. Если организация готова заплатить от 10 000 рублей, то это облегчает борьбу с соц.сетями. Тут нужно разбираться с настройками антивируса. Для блокирования социальных сетей нужно покупать бизнес пакеты антивирусов Касперский, Эссет Нод32, Доктор ВЭБ.Минусы этого решения:
- Данные продукты не дешевое решение,
- Медленно работает интернет соединение из-за того, что все запросы пользователя проверяются серверами антивирусов.
- Не всегда правила отрабатывают правильно
2. Используем инструментарий который дает нам RouterOS и маршрутизаторы Mikrotik
Я предполагаю, что у вас уже есть этот удивительный и надежный от латвийского бренда Mikrotik. Если вы еще не успели его приобрести, то покупайте тут.
Этот скрипт можно не только использовать для блокирования социальных сетей, а так же для других. У меня реализовано два таких скрипта. Один ищет и заносит в список блокирования социальные сети, а другой игры и также заносит во второй список для блокирования.
Итак, перейдем к настройке Mikrotik для работы со скриптом:
1. Добавляем скрипт
Программой Winbox цепляемся к Mikrotik. Идем в System, нажимаем на пункт меню Skript

Открывается окно со всеми скриптам которые у вас работают.

Для того, чтобы добавить новый скрипт нажимаем на плюсик:

Пишем в поле «Name» название скрипта. Далее в поле «Source» вставляем скрипт, который вы отсюда скопировали. У нас должно получиться как показано на следующем скрине.

Для того, чтобы наш скрипт работал автоматически, нужно настроить расписание задач.
2. Настраиваем расписание задач
Для того, чтобы настроить автоматическое срабатывание скрипт, нужно настроить Sheduler Mikrotik
Для этого мы идем в пункт меню System, выбираем подпункт Sheduler

Нам открывается окно со всеми задачами, которые у нас работают на роутере. Далее нажимаем на плюсик для того, чтобы добавить новую задачу.

Нам открывается новое окно для добавления задачи.


И в конце нам осталось настроить фаервол
3. Настройка фаервола
Где src-address-list=!»dostup na sots seti» говорит что правило работает для всех адресов, кроме забитых в адреслист «dostup na sots seti» (т.е. там хранятся адреса тех кому можно ходить на соц сети).
И обращаю внимание на action — стоит reject, это для того что бы браузер не «повисал» когда обращается к этим адресам, а сразу выдавал ошибку о том что сеть не доступна.
Сегодня интернет плотно проник во все сферы нашей жизни и превратился в столь же привычный и необходимый предмет, как электричество или водоснабжение. И это не преувеличение: работа, обучение, онлайн-сервисы — все это требует доступа в сеть, что не только открывает новые возможности, но порождает новые проблемы. Одна из них — защита детей от неподходящей для их возраста информации, а также контроль времени, проводимого ими в сети. При том, что решать данную задачу следует гибко, с учетом возраста и реальных потребностей детей, не ограничивая при этом возможности родителей.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Большинство статей в сети интернет рассматривают отдельные инструменты или методики родительского контроля, в то время как это сложный и многогранный вопрос, особенно если есть несколько детей разного возраста. Действительно, ограничения для ученика начальной школы и подростка могут и должны быть разными. Мы не сторонники жесткого закручивания гаек, стремление оградить ребенка от всего чего только возможно также плохо, как и бесконтрольный его доступ ко всем ресурсам сети. Во всем нужен разумный баланс.
Также не будем забывать об устройствах общего доступа. Это может быть семейный компьютер, доступ к которому имеют все члены семьи, при этом часть времени он остается бесконтрольным, когда родители еще на работе, а дети уже пришли со школы. В эту категорию также можно добавить умные телевизоры, игровые и телевизионные приставки и т.д. и т.п. Для этой категории устройств доступ должен быть выборочным, применяя ограничительные меры на те периоды времени, когда родителей нет дома.
В данной статье мы рассмотрим комплекс мер, который основан на собственном опыте и отражает наше видение политики гибкого родительского контроля, который будет реализован на базе RouterOS.
Распределение устройств по группам
В основе любых ограничительных мер лежат списки объектов, к которым данные меры применяются. И чем более гибкие политики мы хотим создать, тем более точным должно быть разделение на группы. Да, можно создать единственную группу — Дети, но вряд ли вы сумеете настроить ограничения таким образом, чтобы они подходили и ребенку 7-8 лет и 14-15 летнему подростку. Поэтому далее будем предполагать, что у нас есть условный младшеклассник Иван, подросток Маша и некоторое количество устройств общего пользования, такие как умный телевизор или компьютер в зале.
Каждый из детей имеет собственные устройства и все эти устройства нам нужно учесть и распределить по группам, здесь нам поможет резервирование DHCP.
Перейдем в раздел DHCP Server — Leases и зарезервируем за каждым устройством сетевые настройки. Для этого выбираем нужное устройство в списке, открываем его свойства и нажимаем Make Static.
После чего на закладке General станут доступны дополнительные настройки, нам нужно указать для каждого устройства свой список адресов. В нашем случае мы создадим свой список для каждого ребенка и еще один для устройств общего пользования. Внизу закладки найдите поле Address List и выберите нужный список, если он отсутствует, то просто укажите его название, он будет создан автоматически.
В итоге у вас должен получиться набор динамических списков, каждый из которых содержит адреса нужной группы устройств:
![]()
Не забывайте снабжать комментариями объекты, добавляемые в списки, это поможет сохранять удобочитаемость настроек и облегчит дальнейшее сопровождение.
Блокировка нежелательных ресурсов
Один из самых сложных и ответственных вопросов. Мы уже обсуждали вопрос блокировки на основе списков в наших статьях, но в данном случае это поможет мало. Одно дело — заблокировать наиболее популярные ресурсы-пожиратели времени в офисе и совсем иное — оградить детей от всего возможного объема нежелательной информации. Здесь нам на помощь придут специализированные DNS.
Первое, что приходит на ум, это Яндекс.DNS Семейный и аналогичные сервисы других DNS-провайдеров. Но, на наш взгляд, для детей младшего возраста такой фильтрации недостаточно, так как Яндекс Семейный фильтрует только явные материалы 18+, оставляя очень много неоднозначного контента за бортом.
Поэтому для наиболее полной фильтрации мы используем сервис SkyDNS, который представляет гораздо более специализированное коммерческое решение, тариф SkyDNS.Домашний обходится всего в 395 руб/год, что по силам любому семейному бюджету. Сервис имеет гибкие настройки и позволяет достаточно тонко управлять блокируемыми тематиками.
Мы будем использовать оба DNS-сервиса, Яндекс для более взрослых детей, которых уже не требуется ограждать от всего и вся и SkyDNS для младших, которым пока требуется более безопасная выдача.
Перенаправлять запросы клиентских устройств на нужные нам DNS можно сделать различными способами, мы будем использовать перехват пакетов на роутере, что позволит одновременно организовать защиту от ручного изменения настроек на клиенте. Для этого перейдем в IP — Firewall — NAT и добавим новое правило. Закладка General : Chain — dstnat, Protocol — udp, Dst.Port — 53.

На закладке Advanced в поле Src. Address List выбираем нужный нам список устройств.

Затем сделаем копию этого же правила для протокола tcp.
В консоли добавить правила можно командами:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=IVAN to-addresses=193.58.251.251
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=IVAN to-addresses=193.58.251.251Аналогичным образом добавляем перенаправление для других групп устройств к своим DNS-серверам. Отдельного разговора требует группа общих устройств, для них мы укажем дополнительное условие. Для этого перейдем на закладку Extra, развернем блок Time и в полях Time и Days укажем расписание, по которому будем применять ограничения. В указанное время все запросы будут идти к безопасным серверам, а в остальное — к основному DNS-серверу и фильтрация производиться не будет.
Это же действие в терминале:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=COMMON time=8h-18h,mon,tue,wed,thu,fri to-addresses=77.88.8.7
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=COMMON time=8h-18h,mon,tue,wed,thu,fri to-addresses=77.88.8.7В результате у вас должен получиться набор правил для каждой группы устройств, обратите внимание, что правило для группы общих устройств выделено красным и снабжено комментарием # inactive time, в данный момент указанные нами условия не выполняются и такое правило применено не будет.
При использовании общих устройств учитывайте такой момент, как локальный DNS-кеш и DNS-кеш браузера. Что может привести к тому, что блокировки не будут работать, несмотря на то что правило активно. Как правило, в большинстве случаев, достаточно перезапустить браузер, но это помогает не всегда. Поэтому имейте это ввиду при посещении ресурсов на общих устройствах.
Проверим работу фильтров в действии, начнем со SkyDNS, попробуем посетить сайт одного неоднозначного шоу:
Отлично, все работает. Кроме фильтрации сайтов данный сервис принудительно включает безопасный режим для Youtube и эффективно контролирует содержимое его роликов. Сравним выдачу по одному и тому же запросу через SkyDNS и обычный DNS-сервер:
Как видим, фильтр работает весьма эффективно, отсекая практически весь нежелательный контент, при этом возможность изменить параметры фильтров в браузере будут заблокированы, даже при наличии прав локального администратора. А что будет, если на нежелательный ролик кто-то пришлет ссылку? Ничего страшного:
Разблокировать такие ролики локально также невозможно. Дополнительно можно включить безопасный поиск, когда все поисковый запросы будут перенаправляться на Безопасный поиск SkyDNS.
В общем, за два года использования данный сервис подтвердил свою эффективность и гибкость в использовании, по мере взросления ребенка часть фильтров можно отключать, предоставляя ему больше свободы в сети, не отказываясь при этом от контроля по тематикам ресурсов.
Яндекс.DNS Семейный подобной гибкостью похвастаться не может, он фильтрует преимущественно ресурсы, явно относящиеся к категории 18+. Неоднозначное шоу имея более низкий возрастной рейтинг (16+) будет спокойно доступно к просмотру.
Тем не менее явные сайты категории «для взрослых» будут однозначно заблокированы.
На наш взгляд, сервисы Яндекса хорошо подходят для более старших детей и использования на устройствах общего пользования, возможно даже на постоянной основе. Вместе с категорией 18+ блокируются явно нежелательные сайты: фишинг, мошенничество, варез и т.д., что неплохо подходит и для остальных членов семьи, особенно технически малограмотных.
Кроме Семейного у Яндекса есть безопасный Безопасный режим, который блокирует большинство небезопасных сайтов, но пропускает сайты 18+, его можно использовать, например, для старших членов семьи, которые не обладают достаточными навыками безопасного поведения в интернете.
Ограничение времени доступа в интернет при помощи функции Kid Control
Ограничение времени пребывания в сети — вторая по актуальности задача родительского контроля. В актуальных версиях RouterOS для этой цели есть специальный инструмент. Для его настройки перейдем в IP — Kid Control и на вкладке Kids добавим записи для каждого ребенка и группы устройств общего пользования, если доступ нужно ограничивать и к ним. В открывшемся окне добавляем промежутки времени для каждого дня недели в которые будет разрешена работа, таких промежутков может быть несколько.
Затем к каждой записи ребенка нужно привязать устройства, принцип здесь аналогичен резервированию DHCP — точно также привязываем MAC-адрес. Для этого на закладке Devices создаем новую запись и указываем там нужный MAC, его можно скопировать из динамической записи, которая исчезнет после привязки устройства.
Таким образом получим еще один список, содержащие записи детей и расписание доступа в сеть для них, заблокированная запись обозначается в списке флагом B.

Блокировка устройств, связанных с записью, осуществляется при помощи динамически формируемых правил брандмауэра, которые запрещают прохождение транзитных пакетов от устройства и к нему.
![]()
Кроме блокировок мы можем задавать ограничение скорости интернета, для этого придется в первую очередь заполнить время доступа, если этого не сделать, то будет считаться, что работа пользователя запрещена, затем выше, в полях Unlimited Rate для каждого дня недели указываем промежутки, когда возможен доступ без ограничения скорости, таких промежутков может быть несколько. И наконец в самом низу, в поле Rate Limit указываем ограничение скорости, в нашем случае 1 Мбит/с.
При указании даты есть свои особенности, формат записи не поддерживает значение секунд отличное от нуля, поэтому для окончания суток вместо 23:59:59 используйте запись вида 1d 00:00:00.
Следующий момент — ограничение скорости не работает при включенном Fasttrack, отключение которого может привести к высокой нагрузке на процессор, поэтому для слабых роутеров такой вариант скорее всего будет неприменим. Да и скажем честно, ограничение скорости — нетипичный сценарий для домашнего использования.
Также мы неоднократно наблюдали высокую нагрузку на CPU просто при включении ограничения времени доступа, что может сделать применение Kid Control на слабых устройствах невозможным. Но это не является серьезной проблемой, ограничение по времени можно без особых проблем реализовать обычными правилами брандмауэра.
Ограничение времени доступа в интернет при помощи брандмауэра
По сути, Kid Control не делает ничего нового или уникального, он является всего лишь высокоуровневым интерфейсом для управления правилами брандмауэра и очередями. А значит все это можно сделать руками и в некоторых случаях это будет еще гораздо проще.
Есть два сценария реализации поставленной задачи: либо мы указываем диапазоны времени когда доступ клиента разрешен и запрещаем его в остальное время, либо запрещаем определенный временной промежуток и разрешаем вне его пределов.
Для начала рассмотрим первый вариант. Допустим мы хотим разрешить доступ с 10:00 до 23:00 вы выходные и с 17:00 до 23:00 в рабочие дни. Переходим в IP — Firewall — Filter и создаем новое правило. На закладке General указываем цепочку для транзитного трафика: Chain — forward.
На закладке Advanced в опции Src. Address List указываем список адресов устройств ребенка.
На закладке Extra в разделе Time выбираем нужные дни и указываем требуемый временной диапазон (ниже указано расписание для выходных дней).
После чего сохраняем правило. Затем делаем его копию и настраиваем расписание для рабочей недели. Если требуется задать несколько диапазонов, то создаем необходимое количество правил копированием, в каждом из которых меняем время действия правила на закладке Extra.
И завершаем наш набор правил запрещающим, для него мы заполняем закладки: General — указывая цепочку Chain — forward, Advanced — задав список адресов в Src. Address List и Action — reject.
В терминале это можно сделать командами:
/ip firewall filter
add action=accept chain=forward src-address-list=IVAN time=10h-23h,sun,sat
add action=accept chain=forward src-address-list=IVAN time=17h-23h,mon,tue,wed,thu,fri
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=IVANДругой вариант предусматривает запрет только в определенный период времени, для этого мы создаем новое правило, как и в предыдущем примере заполняя закладки General, Advanced и Extra, после чего на закладке Action добавляем действие reject. Разрешающего правила в комплект с ним не нужно, так как политика по умолчанию разрешает все исходящие транзитные соединения.
В терминале выполните (для примера мы запретили доступ с 08:00 до 17:00):
/ip firewall filter
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=MASHA time=8h-17h,mon,tue,wed,thu,friДанные правила следует разместить в самом начале цепочки FORWARD (т.е. выше всех остальных правил), также не забывайте снабжать правила понятными комментариями. Неактивные правила также будут выделены красным цветом и комментарием # inactive time.
Подобные наборы правил фактически делают все тоже самое, что и Kid Control, но не создают при этом лишней нагрузки на устройство.
Как видим, роутеры Mikrotik предоставляют достаточно широкие возможности по родительскому контролю, которые, к тому же, можно настроить несколькими разными способами.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
//compconfig. ru/wp-content/uploads/2017/01/05-rasshireniya-Block-Site. png» data-wpel-link=»internal»><span itemprop="image" itemscope="" itemtype="https
Принцип работы подобных расширений очень прост. Они добавляют функцию блокировки в контекстное меню. Щелкнув правой кнопкой мыши по любой ссылке (в том числе на скачивание файла) и выбрав команду «Заблокировать», вы занесете сайт в черный список. Причем целиком, а не отдельную страницу.

Некоторые из представленных расширений позволяют также пополнять черный список вручную и создавать пользовательские фильтры для блокировки по содержимому.

Плагины с функциями блока веб-ресурсов выпускаются не только для Chrome, но и для Opera, Mozilla Firefox и других, менее популярных браузеров.
На роутере
Настройки контроля доступа на роутерах разных моделей неодинаковы, но их алгоритм во многом схож. Разберемся, как блокировать доступ к нежелательным сайтам на примере TP-Link.
Контроль доступа TP-Link (и не только) работает в режиме черного и белого списков. В первом случае доступ разрешается к любым веб-ресурсам, кроме указанных. Во втором — запрещается ко всем, кроме, опять же, указанных. Рассмотрим в качестве примера создание черного списка, так как он используется чаще.
- Заходим в админ-панель, открываем раздел «Контроль доступа» и нажимаем «Мастер настройки».

- В новом окне выбираем режим «IP-адрес», указываем имя узла, для которого создаем правило, и прописываем его IP или диапазон адресов.

- Далее выбираем режим «Доменное имя», пишем произвольное имя цели (для чего создается правило) и перечисляем запрещенные сайты.

- Следующим этапом создаем расписание блокировки.

- Потом задаем имя правила, проверяем все параметры и нажимаем «Завершить».

- Последний шаг — выбор режима фильтрации (в нашем случае — запретить пакетам с указанных доменов проходить через маршрутизатор) и сохранение правила. Также не забываем отметить «Включить управление контролем доступа к Интернет».

На этом настройка закончена.
Через DNS
Трафик компьютера, подключенного к Интернету, проходит через сервера DNS (которые, как и hosts, сопоставляют имена веб-сайтов их ИП-адресам). Кроме DNS, предоставленных провайдером, вы можете использовать другие, например, бесплатные публичные.
Некоторые публичные ДНС имеют систему фильтрации контента, то есть не загружают на компьютер сайты с определенным содержимым.
К сожалению, блокировать ресурсы по своему выбору с помощью ДНС нельзя, но если вы хотите закрыть доступ к контенту для взрослых или к потенциально вредоносным веб-сайтам, способ весьма эффективен. Чтобы им воспользоваться, достаточно прописать в свойствах подключения и протокола версии IPv4 нужные DNS-адреса.

В этом примере использованы публичные ДНС Яндекс с фильтром взрослого контента.
Есть и другие варианты блокировок:
- Яндекс: 77.88.8.88 (основной) и 77.88.8.2 (альтернативный) — фильтрация фишинга и мошеннических ресурсов.
- Norton ConnectSafe (Symantec): 198.153.192.40 (основной) и 198.153.194.40 (альтернативный) — фильтрация фишинга, мошенничества, вредоносных программ.
- Norton ConnectSafe: 198.153.192.50 и 198.153.194.50 — то же плюс фильтр контента для взрослых.
- Norton ConnectSafe: 198.153.192.60 и 198.153.194.60 — то же плюс блокировка любой «недетской» тематики.
С помощью статических маршрутов
Как это выполнить:
- Определите с помощью команды ping_URL IP-адрес нужного сайта.
- Не закрывая командной строки (она должна быть запущена от админа), выполните еще одну инструкцию: route -p add IP_целевого_сайта mask 255.255.255.0 192.168.1.0 metric 1.

Ответ «Ок» означает, что маршрут к сайту 213.180.193.3 создан. Теперь на этом компьютере ya.ru открываться не будет.
В реестре Windows все статические маршруты находятся в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes.

Чтобы убрать оттуда запись, ставшую ненужной, и возобновить доступ к сайту, щелкните по записи правой кнопкой мышки и выберите «Удалить». Или выполните в командной строке инструкцию route — f. Последний способ удаляет все существующие постоянные маршруты. Если хотите убрать только один из них, выполните команду route delete IP_целевого_узла, например, route delete 213.180.193.3. После этого сайт ya.ru снова станет доступным.
Блокировка через файл Hosts
- Создать для пользователя, которому вы собираетесь закрыть доступ к нежелательным сайтам, учетную запись с ограниченными правами. Тогда он не сможет ничего исправить в файле Hosts при всем желании.
- Использовать хитрости для сокрытия блокирующих записей.
Сама технология блокировки очень проста:
- Авторизуемся в Windows под учеткой администратора.
- Заходим в папку %Windir%\System32\drivers\etc, находим файлик без расширения с именем «Hosts» и открываем с помощью Блокнота или замещающей его программы. Чтобы не было проблем с сохранением изменений, можно сделать так: запустить Блокнот Windows (файл notepad.exe, находится в папке Windows) с правами админа, через меню «Файл» — «Открыть» перейти к Hosts и загрузить его в программу.
- В любое место файла с новой строки добавляем запись 127.0.0.1 сайт, где вместо «сайт» прописываем адрес блокируемого ресурса.

- Сохраняем файл на прежнем месте. Чтобы блокнот не приписал ему расширение txt, имя «hosts», пишем в кавычках, а из типов файла выбираем «все файлы».

После этого сайт перестанет открываться в браузерах, так как компьютер будет искать его не в Интернете, а на самом себе.
Хитрости, которые помешают пользователю удалить вашу запись в Hosts
Первый вариант — это сокрытие самой записи в файле. Сделать ее невидимой невозможно, но между комментариями (строчками, начинающимися с #) и ней можно вставить 2-3 сотни пустых строк. Пользователь при открытии файла, скорее всего, не обратит внимание на полосу прокрутки документа и не увидит вашу запись, так как она будет далеко внизу.
Второй вариант — это перемещение файла Hosts в другое, более укромное место. Куда его поместить, решайте сами, но чтобы система его не потеряла, придется внести небольшую правку в реестр. Откройте в редакторе RegEdit ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters и в значении параметра DataBasePath пропишите новый путь к Hosts.

С использованием локальных политик IP-безопасности (IPSec)
Использование для ограничения доступа в Интернет политики безопасности IP (IPSec) — способ нетривиальный. О существовании такой возможности знают очень немногие (в отличие от Hosts), и тот, для кого вы заблокируете некий веб-ресурс, ни за что не догадается, как вы это сделали.
С помощью IPSec можно блокировать как отдельный IP сайта, так и пул адресов. Единственный недостаток этого метода в том, что оснастка управления политиками есть не во всех редакциях Windows. Так, в домашних выпусках она отсутствует.
Создание политики IP-безопасности может показаться сложным, но только в первый раз. После нескольких попыток оно не будет отнимать у вас больше 2-3 минут. Тем более, что каждый шаг настройки сопровождает Мастер.
- Итак, для доступа к оснастке откройте в панели управления раздел «Администрирование», щелкните «Локальная политика безопасности» и выберите «Политики IP-безопасности на локальном ПК».
- Нажмите правой кнопкой мышки на пустую область правой половины окна «Локальных политик» и выберите «Создать политику ИП-безопасности». Запустится первый Мастер настройки.

- В открывшемся далее окошке укажите имя новой политики и кратко опишите ее назначение. Можно оставить эти поля по умолчанию, но лучше заполнить, чтобы потом не запутаться.

- Следом нажмите «Далее», ничего не меняя.

- Завершите работу Мастера, отметив «Изменить свойства» и щелкнув «Готово».

- В окошке свойств будущей политики IPSec кликните «Добавить». Это запустит следующий Мастер — создания правил IP-безопасности.

- В окне «Конечная точка туннеля» оставьте всё как есть.

- В разделе «Тип сети» выберите «Все подключения».

- В «Списке IP-фильтров» (их только предстоит создать) кликните «Добавить». Следом — дайте вашему списку имя и снова нажмите «Добавить». Запустится третий Мастер — IP-фильтров.

- Первым делом дайте новому фильтру описание (удобнее всего указать URL блокируемого сайта).

- Источником трафика укажите «Мой IP адрес».

- Назначением — «Определенный IP или подсеть». Ниже пропишите адрес блокируемого сайта или подсети.

- В разделе «Тип протокола» отметьте «Любой».

- Последним шагом нажмите «Изменить свойства» и «Готово». Осталось совсем немного.

- Подтвердите параметры нового фильтра.


В разделе «Свойства» вы сможете в дальнейшем изменять любые параметры политики, а через контекстное меню — отключать, переименовывать и удалять.
C помощью брандмауэра Windows или стороннего файервола
Поскольку каждый файервол настраивается по-своему, а рассмотреть их все мы не можем, изучим принцип настройки универсального средства — брандмауэра Windows 10.
Для создания правила блокировки сначала определим IP сайта. Для этого удобно использовать команду ping_URL (например, «ping ya.ru») или whois-сервисы.

- Откроем брандмауэр. В левой панели выберем «Правила исходящих подключений», а в списке «Действия» — «Создать правило».

- В следующем окне отметим «Все программы» (если сайт должен блокироваться во всех браузерах) или «Путь программы» (если в одном). При выборе второго варианта укажем путь к исполняемому файлу браузера.

- Следующее окно пропустим. После него нам предстоит указать IP, подлежащий блокировке. Отметим в нижней части окна «Область» пункт «Указанные IP-адреса» и нажмем «Добавить». Верхнее поле не трогаем, так как оно предназначено для создания правил в локальных сетях.

- Пропишем ИП-адрес или диапазон адресов веб-сайта и щелкнем ОК.

- Далее выберем «Блокировать подключение».

- Отметим сетевые профили, для которых собираемся использовать правило.

- И последним шагом присвоим правилу имя.

После нажатия «Готово» правило вступит в действие.
В браузерах
Современные браузеры содержат в себе много полезного, но функций блокировки сайтов по выбору пользователя в большинстве из них нет. Осталась она, пожалуй, только в Internet Explorer.
Средствами родительского контроля
Родительский контроль сегодня встраивают куда только можно. Он есть во многих роутерах, антивирусных программах и даже в самих операционных системах. До выхода Windows 7 родительский контроль был отдельной системной функцией. В Windows 10 он стал «семейной безопасностью с настройками через сайт Microsoft», однако суть его от этого не поменялась. Родители по-прежнему имеют возможность ограничивать с его помощью доступ ребенка к сетевым ресурсам.
Впрочем, что мы всё о Windows да о Windows? Давайте рассмотрим, как работает родительский контроль в Касперском Интернет Секьюрити.
- Настройка ограничений выполняется через специально выделенный раздел.

- Первое, что предстоит сделать после захода в него, это установить пароль на отключение функции и изменение настроек.
- Дальше вам откроется список учетных записей пользователей, для которых можно задействовать родительский контроль. Нажмите возле выбранной учетки «Настроить ограничения».

- Ограничения доступа к веб-контенту устанавливаются в разделе «Интернет». В наличии 2 режима блокировки: сайты для взрослых (черный список) и все сайты, кроме разрешенных (белый список).

- При выборе режима черного списка вы можете задать категории контента, подлежащего блокировке, но без указаний конкретных сайтов. При выборе режима белого списка разрешенные сайты необходимо добавить в исключения. Всё остальное будет блокироваться.

Ползунок включения/выключения контроля находится вверху окна настроек в списке пользователей.

