1. Як заблокувати соціальні мережі і сайти за допомогою Mikrotik Так чи інакше рано чи пізно у керівництва...
2. Загальний принцип дії
3. Від теорії до практики
4. Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
5. «Так я тебе по IP обчислити і забаню!»
6. Загальний принцип дії
7. Від теорії до практики
8. Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
9. «Так я тебе по IP обчислити і забаню!»
10. Загальний принцип дії
11. Від теорії до практики

Як заблокувати соціальні мережі і сайти за допомогою Mikrotik

Так чи інакше рано чи пізно у керівництва будь-якої компанії з'являється ідея «А чи не заблокувати нам соціальні мережі. А то співробітники не працюють, а тільки в інтернеті дурницями займаються ». Ось і приходить команда адміну «ЗАБЛОКУВАТИ». І добре якщо в компанії є потужний проксі-сервер який вміє розбирати шифрований SSL трафік і вліт блокувати всі що адміну завгодно. Але іграшки такі коштують дорого, та й кваліфікація повинна бути відповідна. А в звичайній рядовий фірмі, добре якщо у адміністратора є хороший маршрутизатор. Власне кажучи в цій статті я і розповім, як за пару хвилин за допомогою Mikrotik і рівних рук можна вирішити поставлене завдання. Ласкаво просимо під кат.

«Так я тебе по IP обчислити і забаню!»

Багато, хто в темі, пам'ятають давню погрозу, яка озвучувалася на зорі інтернету в нашій країні. Але якщо подивитися, то з тих самих часів мало що поменяловь. І як обмовиться все геніальне просто. Давайте розглянемо варіанти, як можна вирішити поставлене керівництвом завдання без додаткового фінансування:

1. Проксі сервер - дешеві і безкоштовні аналоги не вміють розбирати SSL трафік, а всі сучасні соціальні мережі вже давно перейшли на HTTPS. Дорогі варіанти, які вміють розбирати HTTPS і SSL на ніхто не купить. Так що для нас це не варіант
2. Заглушка в DNS - Цікавий андеграудниє варіант. Створити ліві зони для кожної соціальної мережі і повертати IP-адреса, наприклад 127.0.0.1. У захваті від ідеї, ось тільки одна проблема - далеко не всім потрібно банити соціалки. У підсумку це абсолютно не гнучкий інструмент, який нам не підходить.
3. Бан по IP. При всій своїй простоті, в нашому випадку це найпростіший і гнучкий інструмент. Чому? Все просто. Можна створити списки адрес і створити правила згідно з якими когось пускати за вказаними адресами а кого-то немає. Цей спосіб погано підходить для блокування окремих дрібних сайтів, оскільки блокує не тільки ресурси які нам потрібні, але і всі інші що живуть на тому ж сервері. У підсумку, для дрібниці цей спосіб не годиться, а ось для великих гігантів, якими і є соціальні мережі це те що потрібно

Загальний принцип дії

І так, зі способами ми розібралися і визначили найбільш для нас зручний. Тепер спробую описати що нам потрібно.

1. Визначаємося з ресурсом який ми хочемо заблокувати. Нехай це буде ну скажімо той же twitter.
2. Йдемо за посиланням https://bgp.he.net/ і в рядку пошуку вбиваємо назву ресурсу. У нашому випадку це twitter.
3. Чекаємо поки відпрацює пошук. Вуаля! у нас в руках список всіх адрес і підмереж, які використовує twitter.
4. Тепер будь-яким зручним способом на маршрутизаторі створюємо список IP адрес зі зручним назвою, наприклад TWITTER-IPs
5. Будь-яким зручним способом на маршрутизаторі створюємо список IP адрес комп'ютерів, яким можна відвідувати даний ресурс, назвемо його TWITTER-USERS_PC
6. Створюємо правило в Firewall згідно з яким дозволяємо доступ комп'ютерів зі списку TWITTER-USERS_PC до адрес зі списку TWITTER-IPs
7. Створюємо правило в Firewall згідно з яким забороняємо доступ до адрес зі списку TWITTER-IPs

Усе. Тепер тільки певні користувачі можуть відвідувати TWITTER. Точніше на ресурс можна потрапити тільки з певних ПК. З інших ПК ресурс працювати не буде. Взагалі. Маршрутизатор буде повністю блокувати трафік на TWITTER і буде абсолютно все одно за яким протоколом, зашифрований там він чи ні.

От якось так.

Від теорії до практики

Ось ви зараз прочитали то що я написав і задається питанням. Як це все налаштувати? Та легко. Давайте я вам все це справа покажу. Опустимо відвідування сайту і отримання списку адрес. розглянемо блокування на прикладі підмережі 104.244.42.0/24 яка належить Твіттеру.

1. відкриваємо Winbox і підключаємося до потрібного маршрутизатора.
2. Переходимо в розділ IP підрозділ FIREWALL і вибираємо вкладку ADDRESS LISTS
3. Створюємо новий список адрес:
4. В після NAME вбиваємо назву списку яке подобається вам. Увага! поле ім'я не унікально і якщо вам в один список потрібно додати кілька адрес або підмереж, то потрібно створити кілька списків з однаковими іменами
5. А поле ADDRESS вписуємо IP адреса або підмережа. У моєму випадку це сіть.
6. І так повторюємо стільки раз скільки адрес або підмереж ми хочемо об'єднати в один список
7. Тепер створимо список TWITTER-USERS_PC. робимо все точно так само як в пунктах 3-6 за винятком того, що список у нас буде називатися TWITTER-USERS_PC а в поле ADDRESS потрібно вписувати IP адреси комп'ютерів і підмереж, яким ми хочемо дозволити доступ до Твіттеру.
8. У підсумку виходить якось ось так:
9. Переходимо на вкладку FILTER RULES
10. Натискаємо кнопку ADD і створюємо нове правило
11. На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
12. Переходимо на вкладку ADWANCED. В поле Src. Address List вибираємо список TWITTER-USERS_PC. В поле Dst. Address List вибираємо список TWITTER-IPs
13. Переходимо на вкладку Action. В поле Action вибираємо пункт accept
14. Зберігаємо наш правило кнопкою ОК. При необхідності додаємо коментар. Все правило, яке дозволяє з певних ПК ходити на twitter готовий. тепер переходимо до створення правила, яке всім іншим заборонить доступ до цього ресурсу.
15. Натискаємо кнопку ADD і створюємо нове правило
16. На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
17. Переходимо на вкладку ADWANCED. Поле Src. Address List залишаємо порожнім. В поле Dst. Address List вибираємо список TWITTER-IPs
18. Переходимо на вкладку Action. В поле Action вибираємо пункт DROP
19. Зберігаємо наш правило кнопкою ОК. Все що забороняє правило готове.

Для того щоб ця зв'язка правил працювала її потрібно перетягнути вище в списку правил Filter Rules.

Ну от і все. тепер ви знаєте як здійснити блокування не тільки за певною адресою, але і по певної підмережі або по декілька підмереж.

Сподіваюся інформація була для Вас корисною. незабаром я планую викласти скрипти для автоматичного створення списків адрес для різних ресурсів. Слідкуйте за новими статтями.

Як заблокувати соціальні мережі і сайти за допомогою Mikrotik

Так чи інакше рано чи пізно у керівництва будь-якої компанії з'являється ідея «А чи не заблокувати нам соціальні мережі. А то співробітники не працюють, а тільки в інтернеті дурницями займаються ». Ось і приходить команда адміну «ЗАБЛОКУВАТИ». І добре якщо в компанії є потужний проксі-сервер який вміє розбирати шифрований SSL трафік і вліт блокувати всі що адміну завгодно. Але іграшки такі коштують дорого, та й кваліфікація повинна бути відповідна. А в звичайній рядовий фірмі, добре якщо у адміністратора є хороший маршрутизатор. Власне кажучи в цій статті я і розповім, як за пару хвилин за допомогою Mikrotik і рівних рук можна вирішити поставлене завдання. Ласкаво просимо під кат.

«Так я тебе по IP обчислити і забаню!»

Багато, хто в темі, пам'ятають давню погрозу, яка озвучувалася на зорі інтернету в нашій країні. Але якщо подивитися, то з тих самих часів мало що поменяловь. І як обмовиться все геніальне просто. Давайте розглянемо варіанти, як можна вирішити поставлене керівництвом завдання без додаткового фінансування:

1. Проксі сервер - дешеві і безкоштовні аналоги не вміють розбирати SSL трафік, а всі сучасні соціальні мережі вже давно перейшли на HTTPS. Дорогі варіанти, які вміють розбирати HTTPS і SSL на ніхто не купить. Так що для нас це не варіант
2. Заглушка в DNS - Цікавий андеграудниє варіант. Створити ліві зони для кожної соціальної мережі і повертати IP-адреса, наприклад 127.0.0.1. У захваті від ідеї, ось тільки одна проблема - далеко не всім потрібно банити соціалки. У підсумку це абсолютно не гнучкий інструмент, який нам не підходить.
3. Бан по IP. При всій своїй простоті, в нашому випадку це найпростіший і гнучкий інструмент. Чому? Все просто. Можна створити списки адрес і створити правила згідно з якими когось пускати за вказаними адресами а кого-то немає. Цей спосіб погано підходить для блокування окремих дрібних сайтів, оскільки блокує не тільки ресурси які нам потрібні, але і всі інші що живуть на тому ж сервері. У підсумку, для дрібниці цей спосіб не годиться, а ось для великих гігантів, якими і є соціальні мережі це те що потрібно

Загальний принцип дії

І так, зі способами ми розібралися і визначили найбільш для нас зручний. Тепер спробую описати що нам потрібно.

1. Визначаємося з ресурсом який ми хочемо заблокувати. Нехай це буде ну скажімо той же twitter.
2. Йдемо за посиланням https://bgp.he.net/ і в рядку пошуку вбиваємо назву ресурсу. У нашому випадку це twitter.
3. Чекаємо поки відпрацює пошук. Вуаля! у нас в руках список всіх адрес і підмереж, які використовує twitter.
4. Тепер будь-яким зручним способом на маршрутизаторі створюємо список IP адрес зі зручним назвою, наприклад TWITTER-IPs
5. Будь-яким зручним способом на маршрутизаторі створюємо список IP адрес комп'ютерів, яким можна відвідувати даний ресурс, назвемо його TWITTER-USERS_PC
6. Створюємо правило в Firewall згідно з яким дозволяємо доступ комп'ютерів зі списку TWITTER-USERS_PC до адрес зі списку TWITTER-IPs
7. Створюємо правило в Firewall згідно з яким забороняємо доступ до адрес зі списку TWITTER-IPs

Всі. Тепер тільки певні користувачі можуть відвідувати TWITTER. Точніше на ресурс можна потрапити тільки з певних ПК. З інших ПК ресурс працювати не буде. Взагалі. Маршрутизатор буде повністю блокувати трафік на TWITTER і буде абсолютно все одно за яким протоколом, зашифрований там він чи ні.

От якось так.

Від теорії до практики

Ось ви зараз прочитали то що я написав і задається питанням. Як це все налаштувати? Та легко. Давайте я вам все це справа покажу. Опустимо відвідування сайту і отримання списку адрес. розглянемо блокування на прикладі підмережі 104.244.42.0/24 яка належить Твіттеру.

1. відкриваємо Winbox і підключаємося до потрібного маршрутизатора.
2. Переходимо в розділ IP підрозділ FIREWALL і вибираємо вкладку ADDRESS LISTS
3. Створюємо новий список адрес:
4. В після NAME вбиваємо назву списку яке подобається вам. Увага! поле ім'я не унікально і якщо вам в один список потрібно додати кілька адрес або підмереж, то потрібно створити кілька списків з однаковими іменами
5. А поле ADDRESS вписуємо IP адреса або підмережа. У моєму випадку це сіть.
6. І так повторюємо стільки раз скільки адрес або підмереж ми хочемо об'єднати в один список
7. Тепер створимо список TWITTER-USERS_PC. робимо все точно так само як в пунктах 3-6 за винятком того, що список у нас буде називатися TWITTER-USERS_PC а в поле ADDRESS потрібно вписувати IP адреси комп'ютерів і підмереж, яким ми хочемо дозволити доступ до Твіттеру.
8. У підсумку виходить якось ось так:
9. Переходимо на вкладку FILTER RULES
10. Натискаємо кнопку ADD і створюємо нове правило
11. На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
12. Переходимо на вкладку ADWANCED. В поле Src. Address List вибираємо список TWITTER-USERS_PC. В поле Dst. Address List вибираємо список TWITTER-IPs
13. Переходимо на вкладку Action. В поле Action вибираємо пункт accept
14. Зберігаємо наш правило кнопкою ОК. При необхідності додаємо коментар. Все правило, яке дозволяє з певних ПК ходити на twitter готовий. тепер переходимо до створення правила, яке всім іншим заборонить доступ до цього ресурсу.
15. Натискаємо кнопку ADD і створюємо нове правило
16. На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
17. Переходимо на вкладку ADWANCED. Поле Src. Address List залишаємо порожнім. В поле Dst. Address List вибираємо список TWITTER-IPs
18. Переходимо на вкладку Action. В поле Action вибираємо пункт DROP
19. Зберігаємо наш правило кнопкою ОК. Все що забороняє правило готове.

Для того щоб ця зв'язка правил працювала її потрібно перетягнути вище в списку правил Filter Rules.

Ну от і все. тепер ви знаєте як здійснити блокування не тільки за певною адресою, але і по певної підмережі або по декілька підмереж.

Сподіваюся інформація була для Вас корисною. незабаром я планую викласти скрипти для автоматичного створення списків адрес для різних ресурсів. Слідкуйте за новими статтями.

Як заблокувати соціальні мережі і сайти за допомогою Mikrotik

Так чи інакше рано чи пізно у керівництва будь-якої компанії з'являється ідея «А чи не заблокувати нам соціальні мережі. А то співробітники не працюють, а тільки в інтернеті дурницями займаються ». Ось і приходить команда адміну «ЗАБЛОКУВАТИ». І добре якщо в компанії є потужний проксі-сервер який вміє розбирати шифрований SSL трафік і вліт блокувати всі що адміну завгодно. Але іграшки такі коштують дорого, та й кваліфікація повинна бути відповідна. А в звичайній рядовий фірмі, добре якщо у адміністратора є хороший маршрутизатор. Власне кажучи в цій статті я і розповім, як за пару хвилин за допомогою Mikrotik і рівних рук можна вирішити поставлене завдання. Ласкаво просимо під кат.

«Так я тебе по IP обчислити і забаню!»

Багато, хто в темі, пам'ятають давню погрозу, яка озвучувалася на зорі інтернету в нашій країні. Але якщо подивитися, то з тих самих часів мало що поменяловь. І як обмовиться все геніальне просто. Давайте розглянемо варіанти, як можна вирішити поставлене керівництвом завдання без додаткового фінансування:

1. Проксі сервер - дешеві і безкоштовні аналоги не вміють розбирати SSL трафік, а всі сучасні соціальні мережі вже давно перейшли на HTTPS. Дорогі варіанти, які вміють розбирати HTTPS і SSL на ніхто не купить. Так що для нас це не варіант
2. Заглушка в DNS - Цікавий андеграудниє варіант. Створити ліві зони для кожної соціальної мережі і повертати IP-адреса, наприклад 127.0.0.1. У захваті від ідеї, ось тільки одна проблема - далеко не всім потрібно банити соціалки. У підсумку це абсолютно не гнучкий інструмент, який нам не підходить.
3. Бан по IP. При всій своїй простоті, в нашому випадку це найпростіший і гнучкий інструмент. Чому? Все просто. Можна створити списки адрес і створити правила згідно з якими когось пускати за вказаними адресами а кого-то немає. Цей спосіб погано підходить для блокування окремих дрібних сайтів, оскільки блокує не тільки ресурси які нам потрібні, але і всі інші що живуть на тому ж сервері. У підсумку, для дрібниці цей спосіб не годиться, а ось для великих гігантів, якими і є соціальні мережі це те що потрібно

Загальний принцип дії

І так, зі способами ми розібралися і визначили найбільш для нас зручний. Тепер спробую описати що нам потрібно.

1. Визначаємося з ресурсом який ми хочемо заблокувати. Нехай це буде ну скажімо той же twitter.
2. Йдемо за посиланням https://bgp.he.net/ і в рядку пошуку вбиваємо назву ресурсу. У нашому випадку це twitter.
3. Чекаємо поки відпрацює пошук. Вуаля! у нас в руках список всіх адрес і підмереж, які використовує twitter.
4. Тепер будь-яким зручним способом на маршрутизаторі створюємо список IP адрес зі зручним назвою, наприклад TWITTER-IPs
5. Будь-яким зручним способом на маршрутизаторі створюємо список IP адрес комп'ютерів, яким можна відвідувати даний ресурс, назвемо його TWITTER-USERS_PC
6. Створюємо правило в Firewall згідно з яким дозволяємо доступ комп'ютерів зі списку TWITTER-USERS_PC до адрес зі списку TWITTER-IPs
7. Створюємо правило в Firewall згідно з яким забороняємо доступ до адрес зі списку TWITTER-IPs

Всі. Тепер тільки певні користувачі можуть відвідувати TWITTER. Точніше на ресурс можна потрапити тільки з певних ПК. З інших ПК ресурс працювати не буде. Взагалі. Маршрутизатор буде повністю блокувати трафік на TWITTER і буде абсолютно все одно за яким протоколом, зашифрований там він чи ні.

От якось так.

Від теорії до практики

Ось ви зараз прочитали то що я написав і задається питанням. Як це все налаштувати? Та легко. Давайте я вам все це справа покажу. Опустимо відвідування сайту і отримання списку адрес. розглянемо блокування на прикладі підмережі 104.244.42.0/24 яка належить Твіттеру.

1. відкриваємо Winbox і підключаємося до потрібного маршрутизатора.
2. Переходимо в розділ IP підрозділ FIREWALL і вибираємо вкладку ADDRESS LISTS
3. Створюємо новий список адрес:
4. В після NAME вбиваємо назву списку яке подобається вам. Увага! поле ім'я не унікально і якщо вам в один список потрібно додати кілька адрес або підмереж, то потрібно створити кілька списків з однаковими іменами
5. А поле ADDRESS вписуємо IP адреса або підмережа. У моєму випадку це сіть.
6. І так повторюємо стільки раз скільки адрес або підмереж ми хочемо об'єднати в один список
7. Тепер створимо список TWITTER-USERS_PC. робимо все точно так само як в пунктах 3-6 за винятком того, що список у нас буде називатися TWITTER-USERS_PC а в поле ADDRESS потрібно вписувати IP адреси комп'ютерів і підмереж, яким ми хочемо дозволити доступ до Твіттеру.
8. У підсумку виходить якось ось так:
9. Переходимо на вкладку FILTER RULES
10. Натискаємо кнопку ADD і створюємо нове правило
11. На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
12. Переходимо на вкладку ADWANCED. В поле Src. Address List вибираємо список TWITTER-USERS_PC. В поле Dst. Address List вибираємо список TWITTER-IPs
13. Переходимо на вкладку Action. В поле Action вибираємо пункт accept
14. Зберігаємо наш правило кнопкою ОК. При необхідності додаємо коментар. Все правило, яке дозволяє з певних ПК ходити на twitter готовий. тепер переходимо до створення правила, яке всім іншим заборонить доступ до цього ресурсу.
15. Натискаємо кнопку ADD і створюємо нове правило
16. На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
17. Переходимо на вкладку ADWANCED. Поле Src. Address List залишаємо порожнім. В поле Dst. Address List вибираємо список TWITTER-IPs
18. Переходимо на вкладку Action. В поле Action вибираємо пункт DROP
19. Зберігаємо наш правило кнопкою ОК. Все що забороняє правило готове.

Для того щоб ця зв'язка правил працювала її потрібно перетягнути вище в списку правил Filter Rules.

Ну от і все. тепер ви знаєте як здійснити блокування не тільки за певною адресою, але і по певної підмережі або по декілька підмереж.

Сподіваюся інформація була для Вас корисною. незабаром я планую викласти скрипти для автоматичного створення списків адрес для різних ресурсів. Слідкуйте за новими статтями.