Розширені налаштування Mikrotik RouterOS: заборона певних сайтів

Налаштування деяких параметрів обладнання Mikrotik . Якщо ви адміністратор якоїсь мережі, то вам рано чи пізно, доведеться зіткнутися із завданням, коли необхідно закрити доступ до певних сайтів. Якщо це корпоративна мережа, то це швидше за все будуть сайти соціальних мереж та різноманітні розважальні сайти. Та й удома часом виникає потреба захистити дітей від сайтів небажаного змісту. Як це зробити в Mikrotik RouterOS ? Існує кілька способів, найпростіший із них, створити забороняюче правило в Firewall з відповідною адресою сайту.

Наприклад, нам потрібно заборонити доступ до сайту odnoklassniki.ru.

Для цього, у утиліті Winbox ми заходимо до розділу Firewall, і на вкладці Filter Rules додаємо нове правило, натиснувши кнопку “+”.

На вкладці General, у параметрі Chain вибираємо значення forward, у параметрі Protocol вибираємо значення 6(tcp), Dst. Port, ми пишемо 80, а In Interface ставимо “!” біля значення та вибираємо наш порт, до якого підключено кабель провайдера, наприклад eather1.

Далі переходимо на вкладку Adwenced, де в полі Content, вписуємо назву нашого сайту (бажано без www).

Потім на вкладці Action у параметрі Action вибираємо значення drop, щоб заборонити цей сайт.

Зберігаємо наше правило кнопкою Ok

Тепер нам потрібно тільки підняти це правило вище за всі дозвільні правила. Піднімаємо його на верх.

Якщо це правило включено, не один комп'ютер у вашій мережі не зможе відвідувати сайт Однокласники.

Але таких сайтів, може бути і 2 і навіть 10, а то і 50! Як же бути в такому разі? Адже 20-30 правил створювати не будеш... так як це створить велике навантаження на роутер, і може позначитися на якості роботи всієї мережі. Для цього ми скористаємося складнішим, але не менш ефективним способом.

Спочатку ми повинні дізнатися IP адресу або адресу сайту, який ми хочемо заборонити. Відкриваємо на нашому комп'ютері консоль і даємо команду nslookup site.com, наприклад для Однокласників

Ми бачимо, що IP адреса цього сайту 217.20.147.94.

Тепер відкриваємо розділ Firewall і заходимо на вкладку Address List, де кнопкою “+”, додаємо нову адресу. У полі Name ми вписуємо назву нового списку, наприклад, BlockedSites, а поле адресу, вписуємо адресу цього сайту. І зберігаємо кнопкою Ok.

Тепер, у такий же спосіб, визначаємо IP наступного сайту, скажімо - Вконтакте

Але цього разу ми бачимо, що адреси набагато більше. І нам доведеться їх усіх по одному додати до нашого списку.

Порада для просунутих користувачів: не обов'язково вводити всі адреси по одній. легко з'ясувати за допомогою whois сервісу, що компанії Vkontakte Ltd належить мережа 87.240.128.0/18 та забанити її всю, як і мережу 93.186.224.0/22.

Таким чином, ми маємо список усіх адрес сайтів, які ми хочемо заборонити. І цей список у нас називається BlockedSites.

Тепер ми просто створюємо правило, в якому ми забороняємо весь цей список.

Для цього, як і в першому випадку, у розділі Firewall, переходимо на вкладку Filter Rules і додаємо нове правило, натиснувши кнопку “+”.

На вкладці General, у параметрі Chain вибираємо значення forward, у параметрі Protocol вибираємо значення 6(tcp), Dst. Port, ми пишемо 80, а In Interface ставимо “!” біля значення та вибираємо наш порт, до якого підключено кабель провайдера, наприклад eather1.

Переходимо на вкладку Adwenced, де у полі Dst. Address List, вибираємо як параметр, створений нами список BlockedSites.

І за аналогією з першим варіантом, на вкладці Action у параметрі Action вибираємо значення drop, щоб заборонити ці сайти.

Зберігаємо наше правило кнопкою Ok.

І піднімаємо наше правило у самий верх списку.

Тепер, щоб заборонити будь-який інший сайт, нам достатньо просто додати його адресу або адресу до списку BlockedSites на вкладці Address List.

Олексій С., спеціально для LanMarket