Як заблокувати соціальні мережі і сайти за допомогою Mikrotik | Mikrotik | iОнлайн
- Як заблокувати соціальні мережі і сайти за допомогою Mikrotik Так чи інакше рано чи пізно у керівництва...
- Загальний принцип дії
- Від теорії до практики
- Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
- «Так я тебе по IP обчислити і забаню!»
- Загальний принцип дії
- Від теорії до практики
- Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
- «Так я тебе по IP обчислити і забаню!»
- Загальний принцип дії
- Від теорії до практики
Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
Так чи інакше рано чи пізно у керівництва будь-якої компанії з'являється ідея «А чи не заблокувати нам соціальні мережі. А то співробітники не працюють, а тільки в інтернеті дурницями займаються ». Ось і приходить команда адміну «ЗАБЛОКУВАТИ». І добре якщо в компанії є потужний проксі-сервер який вміє розбирати шифрований SSL трафік і вліт блокувати всі що адміну завгодно. Але іграшки такі коштують дорого, та й кваліфікація повинна бути відповідна. А в звичайній рядовий фірмі, добре якщо у адміністратора є хороший маршрутизатор. Власне кажучи в цій статті я і розповім, як за пару хвилин за допомогою Mikrotik і рівних рук можна вирішити поставлене завдання. Ласкаво просимо під кат.
«Так я тебе по IP обчислити і забаню!»
Багато, хто в темі, пам'ятають давню погрозу, яка озвучувалася на зорі інтернету в нашій країні. Але якщо подивитися, то з тих самих часів мало що поменяловь. І як обмовиться все геніальне просто. Давайте розглянемо варіанти, як можна вирішити поставлене керівництвом завдання без додаткового фінансування:
- Проксі сервер - дешеві і безкоштовні аналоги не вміють розбирати SSL трафік, а всі сучасні соціальні мережі вже давно перейшли на HTTPS. Дорогі варіанти, які вміють розбирати HTTPS і SSL на ніхто не купить. Так що для нас це не варіант
- Заглушка в DNS - Цікавий андеграудниє варіант. Створити ліві зони для кожної соціальної мережі і повертати IP-адреса, наприклад 127.0.0.1. У захваті від ідеї, ось тільки одна проблема - далеко не всім потрібно банити соціалки. У підсумку це абсолютно не гнучкий інструмент, який нам не підходить.
- Бан по IP. При всій своїй простоті, в нашому випадку це найпростіший і гнучкий інструмент. Чому? Все просто. Можна створити списки адрес і створити правила згідно з якими когось пускати за вказаними адресами а кого-то немає. Цей спосіб погано підходить для блокування окремих дрібних сайтів, оскільки блокує не тільки ресурси які нам потрібні, але і всі інші що живуть на тому ж сервері. У підсумку, для дрібниці цей спосіб не годиться, а ось для великих гігантів, якими і є соціальні мережі це те що потрібно
Загальний принцип дії
І так, зі способами ми розібралися і визначили найбільш для нас зручний. Тепер спробую описати що нам потрібно.
- Визначаємося з ресурсом який ми хочемо заблокувати. Нехай це буде ну скажімо той же twitter.
- Йдемо за посиланням https://bgp.he.net/ і в рядку пошуку вбиваємо назву ресурсу. У нашому випадку це twitter.
- Чекаємо поки відпрацює пошук. Вуаля! у нас в руках список всіх адрес і підмереж, які використовує twitter.
- Тепер будь-яким зручним способом на маршрутизаторі створюємо список IP адрес зі зручним назвою, наприклад TWITTER-IPs
- Будь-яким зручним способом на маршрутизаторі створюємо список IP адрес комп'ютерів, яким можна відвідувати даний ресурс, назвемо його TWITTER-USERS_PC
- Створюємо правило в Firewall згідно з яким дозволяємо доступ комп'ютерів зі списку TWITTER-USERS_PC до адрес зі списку TWITTER-IPs
- Створюємо правило в Firewall згідно з яким забороняємо доступ до адрес зі списку TWITTER-IPs
Усе. Тепер тільки певні користувачі можуть відвідувати TWITTER. Точніше на ресурс можна потрапити тільки з певних ПК. З інших ПК ресурс працювати не буде. Взагалі. Маршрутизатор буде повністю блокувати трафік на TWITTER і буде абсолютно все одно за яким протоколом, зашифрований там він чи ні.
От якось так.
Від теорії до практики
Ось ви зараз прочитали то що я написав і задається питанням. Як це все налаштувати? Та легко. Давайте я вам все це справа покажу. Опустимо відвідування сайту і отримання списку адрес. розглянемо блокування на прикладі підмережі 104.244.42.0/24 яка належить Твіттеру.
- відкриваємо Winbox і підключаємося до потрібного маршрутизатора.
- Переходимо в розділ IP підрозділ FIREWALL і вибираємо вкладку ADDRESS LISTS
- Створюємо новий список адрес:
- В після NAME вбиваємо назву списку яке подобається вам. Увага! поле ім'я не унікально і якщо вам в один список потрібно додати кілька адрес або підмереж, то потрібно створити кілька списків з однаковими іменами
- А поле ADDRESS вписуємо IP адреса або підмережа. У моєму випадку це сіть.
- І так повторюємо стільки раз скільки адрес або підмереж ми хочемо об'єднати в один список
- Тепер створимо список TWITTER-USERS_PC. робимо все точно так само як в пунктах 3-6 за винятком того, що список у нас буде називатися TWITTER-USERS_PC а в поле ADDRESS потрібно вписувати IP адреси комп'ютерів і підмереж, яким ми хочемо дозволити доступ до Твіттеру.
- У підсумку виходить якось ось так:
- Переходимо на вкладку FILTER RULES
- Натискаємо кнопку ADD і створюємо нове правило
- На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
- Переходимо на вкладку ADWANCED. В поле Src. Address List вибираємо список TWITTER-USERS_PC. В поле Dst. Address List вибираємо список TWITTER-IPs
- Переходимо на вкладку Action. В поле Action вибираємо пункт accept
- Зберігаємо наш правило кнопкою ОК. При необхідності додаємо коментар. Все правило, яке дозволяє з певних ПК ходити на twitter готовий. тепер переходимо до створення правила, яке всім іншим заборонить доступ до цього ресурсу.
- Натискаємо кнопку ADD і створюємо нове правило
- На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
- Переходимо на вкладку ADWANCED. Поле Src. Address List залишаємо порожнім. В поле Dst. Address List вибираємо список TWITTER-IPs
- Переходимо на вкладку Action. В поле Action вибираємо пункт DROP
- Зберігаємо наш правило кнопкою ОК. Все що забороняє правило готове.
Для того щоб ця зв'язка правил працювала її потрібно перетягнути вище в списку правил Filter Rules.
Ну от і все. тепер ви знаєте як здійснити блокування не тільки за певною адресою, але і по певної підмережі або по декілька підмереж.
Сподіваюся інформація була для Вас корисною. незабаром я планую викласти скрипти для автоматичного створення списків адрес для різних ресурсів. Слідкуйте за новими статтями.
Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
Так чи інакше рано чи пізно у керівництва будь-якої компанії з'являється ідея «А чи не заблокувати нам соціальні мережі. А то співробітники не працюють, а тільки в інтернеті дурницями займаються ». Ось і приходить команда адміну «ЗАБЛОКУВАТИ». І добре якщо в компанії є потужний проксі-сервер який вміє розбирати шифрований SSL трафік і вліт блокувати всі що адміну завгодно. Але іграшки такі коштують дорого, та й кваліфікація повинна бути відповідна. А в звичайній рядовий фірмі, добре якщо у адміністратора є хороший маршрутизатор. Власне кажучи в цій статті я і розповім, як за пару хвилин за допомогою Mikrotik і рівних рук можна вирішити поставлене завдання. Ласкаво просимо під кат.
«Так я тебе по IP обчислити і забаню!»
Багато, хто в темі, пам'ятають давню погрозу, яка озвучувалася на зорі інтернету в нашій країні. Але якщо подивитися, то з тих самих часів мало що поменяловь. І як обмовиться все геніальне просто. Давайте розглянемо варіанти, як можна вирішити поставлене керівництвом завдання без додаткового фінансування:
- Проксі сервер - дешеві і безкоштовні аналоги не вміють розбирати SSL трафік, а всі сучасні соціальні мережі вже давно перейшли на HTTPS. Дорогі варіанти, які вміють розбирати HTTPS і SSL на ніхто не купить. Так що для нас це не варіант
- Заглушка в DNS - Цікавий андеграудниє варіант. Створити ліві зони для кожної соціальної мережі і повертати IP-адреса, наприклад 127.0.0.1. У захваті від ідеї, ось тільки одна проблема - далеко не всім потрібно банити соціалки. У підсумку це абсолютно не гнучкий інструмент, який нам не підходить.
- Бан по IP. При всій своїй простоті, в нашому випадку це найпростіший і гнучкий інструмент. Чому? Все просто. Можна створити списки адрес і створити правила згідно з якими когось пускати за вказаними адресами а кого-то немає. Цей спосіб погано підходить для блокування окремих дрібних сайтів, оскільки блокує не тільки ресурси які нам потрібні, але і всі інші що живуть на тому ж сервері. У підсумку, для дрібниці цей спосіб не годиться, а ось для великих гігантів, якими і є соціальні мережі це те що потрібно
Загальний принцип дії
І так, зі способами ми розібралися і визначили найбільш для нас зручний. Тепер спробую описати що нам потрібно.
- Визначаємося з ресурсом який ми хочемо заблокувати. Нехай це буде ну скажімо той же twitter.
- Йдемо за посиланням https://bgp.he.net/ і в рядку пошуку вбиваємо назву ресурсу. У нашому випадку це twitter.
- Чекаємо поки відпрацює пошук. Вуаля! у нас в руках список всіх адрес і підмереж, які використовує twitter.
- Тепер будь-яким зручним способом на маршрутизаторі створюємо список IP адрес зі зручним назвою, наприклад TWITTER-IPs
- Будь-яким зручним способом на маршрутизаторі створюємо список IP адрес комп'ютерів, яким можна відвідувати даний ресурс, назвемо його TWITTER-USERS_PC
- Створюємо правило в Firewall згідно з яким дозволяємо доступ комп'ютерів зі списку TWITTER-USERS_PC до адрес зі списку TWITTER-IPs
- Створюємо правило в Firewall згідно з яким забороняємо доступ до адрес зі списку TWITTER-IPs
Всі. Тепер тільки певні користувачі можуть відвідувати TWITTER. Точніше на ресурс можна потрапити тільки з певних ПК. З інших ПК ресурс працювати не буде. Взагалі. Маршрутизатор буде повністю блокувати трафік на TWITTER і буде абсолютно все одно за яким протоколом, зашифрований там він чи ні.
От якось так.
Від теорії до практики
Ось ви зараз прочитали то що я написав і задається питанням. Як це все налаштувати? Та легко. Давайте я вам все це справа покажу. Опустимо відвідування сайту і отримання списку адрес. розглянемо блокування на прикладі підмережі 104.244.42.0/24 яка належить Твіттеру.
- відкриваємо Winbox і підключаємося до потрібного маршрутизатора.
- Переходимо в розділ IP підрозділ FIREWALL і вибираємо вкладку ADDRESS LISTS
- Створюємо новий список адрес:
- В після NAME вбиваємо назву списку яке подобається вам. Увага! поле ім'я не унікально і якщо вам в один список потрібно додати кілька адрес або підмереж, то потрібно створити кілька списків з однаковими іменами
- А поле ADDRESS вписуємо IP адреса або підмережа. У моєму випадку це сіть.
- І так повторюємо стільки раз скільки адрес або підмереж ми хочемо об'єднати в один список
- Тепер створимо список TWITTER-USERS_PC. робимо все точно так само як в пунктах 3-6 за винятком того, що список у нас буде називатися TWITTER-USERS_PC а в поле ADDRESS потрібно вписувати IP адреси комп'ютерів і підмереж, яким ми хочемо дозволити доступ до Твіттеру.
- У підсумку виходить якось ось так:
- Переходимо на вкладку FILTER RULES
- Натискаємо кнопку ADD і створюємо нове правило
- На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
- Переходимо на вкладку ADWANCED. В поле Src. Address List вибираємо список TWITTER-USERS_PC. В поле Dst. Address List вибираємо список TWITTER-IPs
- Переходимо на вкладку Action. В поле Action вибираємо пункт accept
- Зберігаємо наш правило кнопкою ОК. При необхідності додаємо коментар. Все правило, яке дозволяє з певних ПК ходити на twitter готовий. тепер переходимо до створення правила, яке всім іншим заборонить доступ до цього ресурсу.
- Натискаємо кнопку ADD і створюємо нове правило
- На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
- Переходимо на вкладку ADWANCED. Поле Src. Address List залишаємо порожнім. В поле Dst. Address List вибираємо список TWITTER-IPs
- Переходимо на вкладку Action. В поле Action вибираємо пункт DROP
- Зберігаємо наш правило кнопкою ОК. Все що забороняє правило готове.
Для того щоб ця зв'язка правил працювала її потрібно перетягнути вище в списку правил Filter Rules.
Ну от і все. тепер ви знаєте як здійснити блокування не тільки за певною адресою, але і по певної підмережі або по декілька підмереж.
Сподіваюся інформація була для Вас корисною. незабаром я планую викласти скрипти для автоматичного створення списків адрес для різних ресурсів. Слідкуйте за новими статтями.
Як заблокувати соціальні мережі і сайти за допомогою Mikrotik
Так чи інакше рано чи пізно у керівництва будь-якої компанії з'являється ідея «А чи не заблокувати нам соціальні мережі. А то співробітники не працюють, а тільки в інтернеті дурницями займаються ». Ось і приходить команда адміну «ЗАБЛОКУВАТИ». І добре якщо в компанії є потужний проксі-сервер який вміє розбирати шифрований SSL трафік і вліт блокувати всі що адміну завгодно. Але іграшки такі коштують дорого, та й кваліфікація повинна бути відповідна. А в звичайній рядовий фірмі, добре якщо у адміністратора є хороший маршрутизатор. Власне кажучи в цій статті я і розповім, як за пару хвилин за допомогою Mikrotik і рівних рук можна вирішити поставлене завдання. Ласкаво просимо під кат.
«Так я тебе по IP обчислити і забаню!»
Багато, хто в темі, пам'ятають давню погрозу, яка озвучувалася на зорі інтернету в нашій країні. Але якщо подивитися, то з тих самих часів мало що поменяловь. І як обмовиться все геніальне просто. Давайте розглянемо варіанти, як можна вирішити поставлене керівництвом завдання без додаткового фінансування:
- Проксі сервер - дешеві і безкоштовні аналоги не вміють розбирати SSL трафік, а всі сучасні соціальні мережі вже давно перейшли на HTTPS. Дорогі варіанти, які вміють розбирати HTTPS і SSL на ніхто не купить. Так що для нас це не варіант
- Заглушка в DNS - Цікавий андеграудниє варіант. Створити ліві зони для кожної соціальної мережі і повертати IP-адреса, наприклад 127.0.0.1. У захваті від ідеї, ось тільки одна проблема - далеко не всім потрібно банити соціалки. У підсумку це абсолютно не гнучкий інструмент, який нам не підходить.
- Бан по IP. При всій своїй простоті, в нашому випадку це найпростіший і гнучкий інструмент. Чому? Все просто. Можна створити списки адрес і створити правила згідно з якими когось пускати за вказаними адресами а кого-то немає. Цей спосіб погано підходить для блокування окремих дрібних сайтів, оскільки блокує не тільки ресурси які нам потрібні, але і всі інші що живуть на тому ж сервері. У підсумку, для дрібниці цей спосіб не годиться, а ось для великих гігантів, якими і є соціальні мережі це те що потрібно
Загальний принцип дії
І так, зі способами ми розібралися і визначили найбільш для нас зручний. Тепер спробую описати що нам потрібно.
- Визначаємося з ресурсом який ми хочемо заблокувати. Нехай це буде ну скажімо той же twitter.
- Йдемо за посиланням https://bgp.he.net/ і в рядку пошуку вбиваємо назву ресурсу. У нашому випадку це twitter.
- Чекаємо поки відпрацює пошук. Вуаля! у нас в руках список всіх адрес і підмереж, які використовує twitter.
- Тепер будь-яким зручним способом на маршрутизаторі створюємо список IP адрес зі зручним назвою, наприклад TWITTER-IPs
- Будь-яким зручним способом на маршрутизаторі створюємо список IP адрес комп'ютерів, яким можна відвідувати даний ресурс, назвемо його TWITTER-USERS_PC
- Створюємо правило в Firewall згідно з яким дозволяємо доступ комп'ютерів зі списку TWITTER-USERS_PC до адрес зі списку TWITTER-IPs
- Створюємо правило в Firewall згідно з яким забороняємо доступ до адрес зі списку TWITTER-IPs
Всі. Тепер тільки певні користувачі можуть відвідувати TWITTER. Точніше на ресурс можна потрапити тільки з певних ПК. З інших ПК ресурс працювати не буде. Взагалі. Маршрутизатор буде повністю блокувати трафік на TWITTER і буде абсолютно все одно за яким протоколом, зашифрований там він чи ні.
От якось так.
Від теорії до практики
Ось ви зараз прочитали то що я написав і задається питанням. Як це все налаштувати? Та легко. Давайте я вам все це справа покажу. Опустимо відвідування сайту і отримання списку адрес. розглянемо блокування на прикладі підмережі 104.244.42.0/24 яка належить Твіттеру.
- відкриваємо Winbox і підключаємося до потрібного маршрутизатора.
- Переходимо в розділ IP підрозділ FIREWALL і вибираємо вкладку ADDRESS LISTS
- Створюємо новий список адрес:
- В після NAME вбиваємо назву списку яке подобається вам. Увага! поле ім'я не унікально і якщо вам в один список потрібно додати кілька адрес або підмереж, то потрібно створити кілька списків з однаковими іменами
- А поле ADDRESS вписуємо IP адреса або підмережа. У моєму випадку це сіть.
- І так повторюємо стільки раз скільки адрес або підмереж ми хочемо об'єднати в один список
- Тепер створимо список TWITTER-USERS_PC. робимо все точно так само як в пунктах 3-6 за винятком того, що список у нас буде називатися TWITTER-USERS_PC а в поле ADDRESS потрібно вписувати IP адреси комп'ютерів і підмереж, яким ми хочемо дозволити доступ до Твіттеру.
- У підсумку виходить якось ось так:
- Переходимо на вкладку FILTER RULES
- Натискаємо кнопку ADD і створюємо нове правило
- На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
- Переходимо на вкладку ADWANCED. В поле Src. Address List вибираємо список TWITTER-USERS_PC. В поле Dst. Address List вибираємо список TWITTER-IPs
- Переходимо на вкладку Action. В поле Action вибираємо пункт accept
- Зберігаємо наш правило кнопкою ОК. При необхідності додаємо коментар. Все правило, яке дозволяє з певних ПК ходити на twitter готовий. тепер переходимо до створення правила, яке всім іншим заборонить доступ до цього ресурсу.
- Натискаємо кнопку ADD і створюємо нове правило
- На вкладці GENERAL нічого не міняємо тільки вибираємо CHAIN типу FORWARD
- Переходимо на вкладку ADWANCED. Поле Src. Address List залишаємо порожнім. В поле Dst. Address List вибираємо список TWITTER-IPs
- Переходимо на вкладку Action. В поле Action вибираємо пункт DROP
- Зберігаємо наш правило кнопкою ОК. Все що забороняє правило готове.
Для того щоб ця зв'язка правил працювала її потрібно перетягнути вище в списку правил Filter Rules.
Ну от і все. тепер ви знаєте як здійснити блокування не тільки за певною адресою, але і по певної підмережі або по декілька підмереж.
Сподіваюся інформація була для Вас корисною. незабаром я планую викласти скрипти для автоматичного створення списків адрес для різних ресурсів. Слідкуйте за новими статтями.
Чому?Як це все налаштувати?
Чому?
Як це все налаштувати?
Чому?
Як це все налаштувати?