Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Mikrotik. Блокировка доступа к HTTPS сайтам

02.04.2020 19:40


08.11.2016 19:27
EugeneT
 
Цитата:
OlegON Хм, противоречит сути HTTPS же... content=youtube будет срабатывать только если холодный старт и не был там раньше, в результате чего сначала идешь на HTTP, где тебя и палит правило, нет?
Тоже так думал, однако работает . Может шифруется только get/post data, а hostname идет открыто?
08.11.2016 21:04
OlegON
 
У меня не заработало :( Так же, как и блокировка по IP. Сначала какая-то задумчивость, видимо, глотает отлупы, после чего ломится в кеш...
09.11.2016 08:23
EugeneT
 
по http не ломится, я сразу адрес набирал как https.
в кеш не лезет, выдает сообщение о недоступности ресурса.
У меня правило торчит в самом верху, выше forward connection-state=established action=accept, соотв оно рубит все конекты в принципе, включая уже установленные. У тебя, вероятно, оно ниже и браузер проскакивает по одному из установленных соединений, а пинги рубятся как надо, бо icmp не трекается в connection tracking
09.11.2016 09:02
OlegON
 
А ты fasttrack используешь? с ним правило где? У меня accept вообще нет, поскольку у Mikrotik по умолчанию ACCEPT, судя по всему. В общем, у меня из цепочек только fasttrack, но она первая, сразу за ней - DROP трубы был. Ни одного ACCEPT нет в принципе.
09.11.2016 12:22
EugeneT
 
fastrack нет. Не доверяю ему особо, у себя не увидел какого-то влияния на скорость, да и цпу не очень загружен. Штука такая, я не всегда понимаю что он пропустит мимо цепочек фаера, а что нет. Вообще, если уж включать его, то только для established соединений, чтоб все new гарантированно проходили.
А насчет цепочек accept это ты погорячился. А предпочитаю разрешить все что необходимо и последним правилом запретить все остальное.
09.11.2016 12:57
OlegON
 
Я как раз в процессе настройки и понимания этой железки, потому и убрал все по максимуму. У меня она во внутренней сети, т.ч. не так страшно.
А вот все мои танцы, судя по всему, как раз на fasttrack и завязаны... С учетом того, что есть нюансы с игнорированием правил на бридже и объединенных в свич интерфейсах, голову поломаешь с пониманием, что куда пойдет. Однако, уж больно красивая реклама этого фасттрака от самого микротика. Дело даже не только в общей нагрузке на процессор, но и в том, что если пакет может пролететь быстрее через рутер, то надо бы это использовать... И, да, только на established и related...
19.11.2016 14:36
OlegON
 
Цитата:
EugeneT Заблочил подсеть 173.194.44.0/24
Я тоже заблочил... Через некоторое время сломался Gmail. Чуть не убили :)

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.