Как заблокировать вКонтакте, Одноклассники, Мой мир или любой сайт в Mikrotik

Я уже писал о том, как заблокировать сайты на Mikrotik с использованием прокси.

Но может получится так, что Вас не устраивает данное решение.
Допустим Вы (как и Я) не хотите заморачиваться с настройкой прокси-сервера по причине избыточности, а так же потребления драгоценных МГЦ итак слабого CPU MikroTik RouterBoard.

Блокировка сайтов на MikroTik с помощью DNS Layer 7:

Будем блокировать сайты на прикладном уровне модели OSI (Layer 7).

Всеми любимые социальные сети: вКонтакте, Одноклассники, Мой мир или любой другой сайт имеет смысл так блокировать, если Микротик является сервером, который обеспечивает выход в Интернет.
Важное условие: Mikrotik должен выступать в роли DNS-сервера.

Минус у этого способа: если использовать любой другой DNS-сервер на компьютерах, то никакой блокировки не будет(((Конечно Мы можем создать правило, которым заблокируем весь DNS-траффик, кроме как к нашему серверу.

Настройки статических DNS-записей в Mikrotik:

В консоле нам нужно набрать: /ip dns static
Так Мы перейдем в настройку DNS-сервера Микротика. Тут можно связать любое доменное имя с любым ИП-адрессом.

Mikrotik поддерживает регулярные выражения для записи доменного имени. Но это медленнее, поэтому старайтесь не злоупотреблять. Для таких записей устанавливается флаг «R» (для PTR-записей нельзя использовать регулярные выражения). Для регулярных выражений точка заменяет любой символ.

Примеры:

1.Давайте сайту "www.vk.com" назначим ип-адресс 127.0.0.1, что сделает его полностью неработоспособным:
[[email protected]] ip dns static> add name www.vk.com address=127.0.0.1
[[email protected]] ip dns static> print
Flags: D - dynamic, X - disabled, R - regexp
 #     NAME               ADDRESS                                 TTL
 0     www.vk.com         127.0.0.1                               1d
2."Заблокируем" некоторые социальные сети:
[[email protected]] ip dns static> add name name=".*\.vk\.com" address=127.0.0.1
[[email protected]] ip dns static> add name name=".*\.vkontakte\.com" address=127.0.0.1
[[email protected]] ip dns static> add name name=".*\.odnoklassniki\.ru" address=127.0.0.1
[[email protected]] ip dns static> add name name=".*\.my\.mail\.ru" address=127.0.0.1

Блокировка сайтов с помощью Firewall на MikroTik:

Будем блокировать сайты на сетевом уровне модели OSI (Layer 3).

Итак нам понадобятся Ип-адресса, которые нужно блокировать.

Например:

>nslookup vk.com
Name:   vk.com
Addresses:87.240.131.104
          87.240.143.245
          87.240.143.246
          87.240.143.247
          87.240.143.248
          87.240.188.248
          87.240.188.253
          93.186.224.244
          93.186.224.245
          87.240.131.101
          87.240.131.102
          87.240.131.103

Теперь можно заблокировать все эти ИП-адресса. Можно даже всю сеть (87.240.128.0/18) заблокировать:

inetnum: 87.240.128.0 - 87.240.159.255
netname: VKONTAKTE-SPB-NET
descr: Vkontakte Ltd
country: RU
admin-c: PVD90-RIPE
tech-c: PVD90-RIPE
status: ASSIGNED PA
mnt-by: VKONTAKTE-NET-MNT
source: RIPE # Filtered

Блокировка в Firewall:

/ ip firewall filter add chain=forward src-address-list=socialnetworks action=drop comment="Social Network" disabled=no 
 
/ip firewall address-list add list=socialnetworks address=87.240.143.247 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.143.248 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.188.248 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.188.253 disabled=no
/ip firewall address-list add list=socialnetworks address=93.186.224.244 disabled=no
/ip firewall address-list add list=socialnetworks address=93.186.224.245 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.131.101 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.131.102 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.131.103 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.131.104 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.143.245 disabled=no
/ip firewall address-list add list=socialnetworks address=87.240.143.246 disabled=no

Comments to Как заблокировать вКонтакте, Одноклассники, Мой мир или любой сайт в Mikrotik

  • смерть вКонтакте силами Микротик)

    wel 23.01.2012 01:18 Ответить
  • Спасибо, очень помогло. Еще бы такую штуку для торрентов

    Alex 02.02.2012 14:55 Ответить
  • Заблокировал по DNS. Как теперь разблокировать? Удалил все записи, все равно все ломятся на 127.0.0.1.

    Oleg 08.06.2012 16:34 Ответить
  • Олег:
    ipconfig /flushdns же. блокировщик доморощенный.

    Афтар, ты слышал про анонимайзеры? Будешь хуячить их ойпишнеги в правила firewall? Squidgard или Rejik + жесткие административные меры к вконтактным ушлепкам. Иначе никакого толку не будет.

    asdasd 18.07.2012 07:57 Ответить
  • Молодец хорошая статья, но есть одно но после создания правила дропа нужно зайти в него и поправить во вкладке Advansed лист блокировки socialnetworks должен быть указан не в Src.Address List, а в Dst.Address List. Так будет правильнее иначе получается что мы не даем войти контенту а обращаться разрешаем (когда то соц сети ломятся к нам, а не наши сотрудники на них) хотя эффект будет примерно тот же)))

    REW 18.10.2013 14:02 Ответить
  • http://asp24.com.ua/blog/blokiruem-socialnye-seti-v-mikrotik-routeros/
    есть хорошая программа которая облегчает работу

    Rostyslav 15.12.2013 14:33 Ответить
  • В asus rt-n56/65u, с прошивкой под Padavan, забил злостное dnd имя и никаких проблем. В микротике же Layer7 (osi), куча правил (малая губа.. большая губа..))) ) и то — смотришь, а даже без анонимайзера и чистки кеша dns на роутере и клиента, все равно можно пройти.

    Dmitry 09.08.2015 11:55 Ответить

Leave a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Загрузка...
Menu Title