Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Mikrotik. Блокировка доступа к HTTPS сайтам

01.04.2020 21:48


08.11.2016 14:01
OlegON
 
Цитата:
EugeneT Заблочил подсеть 173.194.44.0/24
В принципе, да... Только это решение совсем не автономное, поскольку подсети меняются и достаточно часто, да и, действительно, многое что параллельно мог снести, а у меня в клиентах Андроид... Кроме того, как говорил, браузер плюет на недоступность трубы и тащит потом все с какого-то кешевого домена...
08.11.2016 14:02
OlegON
 
Цитата:
EugeneT И еще, в порядке бреда. Никто не мешает тебе взять десяток известных ипов, прописать их на микроте в dns/static, тогда микрот будет отдавать юзерам их и только их, а затем собственно их же и блокрировать по времени
А как их не отдавать тогда тем, кого лимиты не касаются?
08.11.2016 14:59
EugeneT
 
Цитата:
OlegON А как их не отдавать тогда тем, кого лимиты не касаются?
а почему не отдавать? ипы то вполне валидные, пусть по ним и работают
08.11.2016 16:08
OlegON
 
Сразу не дошло, что их же и баним. Я просто рассматривал схему подсовывания кривых IP в интервал времени, но проблема была в том, чтобы разным пользователям отдавать разные адреса. Схема нормальная, за исключением того, что адреса меняются... Придется все время их обновлять... Теоретически возможно, конечно, дергать их из nslookup и перестраивать DNS-static и листы... Но это уже какой-то углубленный колхоз... :)
08.11.2016 16:33
EugeneT
 
а смысл? они динамически меняются роунд-робином на днс у гугла для выравнивания нагрузки, но ведь однажды занесенные в статик все равно остаются валидными. Освежать список нужно будет лишь тогда когда по ним перестанет отдаваться контент или тормозить начнет. Я бы особо и не парился, можно ручками изредка обновлять, а можно и скрипт накидать хоть внутри, хоть снаружи
08.11.2016 16:36
OlegON
 
Прав, но вот уеду я ... например, в отпуск... А оно и перестанет работать. Только скриптом :) Робином они все время гоняются, вопрос в том, что разные серваки начинают работать при обновлениях и падениях сервиса... Тут и словить можно...
08.11.2016 16:53
EugeneT
 
тут решение схожей задачи. Обход имен по днс, создание адрес листов и чистка кеша днс микрота. Достаточно будет вместо чистки кеша заполнять статик записи в днс.
08.11.2016 17:04
OlegON
 
Познавательно :) Я тут уже себе мозг вывернул - отвлекают, к выходным ближе буду на практике тестировать...
08.11.2016 17:28
EugeneT
 
можно вот так:
Цитата:
add action=reject chain=forward content=youtube dst-port=80,443 log-prefix="" out-interface=eth-wan protocol=tcp reject-with=icmp-network-unreachable src-address-list=banYoutubeForUsers \
time=9h-18h,sun,mon,tue,wed,thu,fri,sat
Проверил, работает.
блокируем трубу с 9 до 18
08.11.2016 17:42
OlegON
 
Хм, противоречит сути HTTPS же... content=youtube будет срабатывать только если холодный старт и не был там раньше, в результате чего сначала идешь на HTTP, где тебя и палит правило, нет?

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.