Jump to content
  • 0

Layer7 Protocols проблем


velko

Въпрос

Преди време сменихме RB2011UiAS-IN, понеже пострада от близко попадение на мълния, със RB2011LS. Разликата е, че новия няма дисплейчето само. ОС е 5.21 - прехвърлихме бекъпа от стария и си потегли всичко, имаме 10-тина компютърчета вързани. Сега установявам, че всички си цъкат фейсбук, въпреки че са направени настройки в Layer7 в Regexp е записано  -    "^.+(facebook.com).*$", action -drop, за цялата мрежа 10.10.10.0/24. Преди си работеше сега не ще, изтрих всичко във Filter Rules, наново създавах, по отделно за всеки комп и неще и не ще. На някой случвало ли му се е такова нещо.

Редактирано от velko
Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор
преди 3 минути, velko написа:

Преди време сменихме RB2011UiAS-IN, понеже пострада от близко попадение на мълния, със RB2011LS. Разликата е, че новия няма дисплейчето само. ОС е 5.21 - прехвърлихме бекъпа от стария и си потегли всичко, имаме 10-тина компютърчета вързани. Сега установявам, че всички си цъкат фейсбук, въпреки че са направени настройки в Layer7 в Regexp е записано  -    "^.+(facebook.com).*$", action -drop, за цялата мрежа 10.10.10.0/24. Преди си работеше сега не ще, изтрих всичко във Filter Rules, наново създавах, по отделно за всеки комп и неще и не ще. На някой случвало ли му се е такова нещо.

Така е защото връзката е по TLS , т.е.  не може да се прочете криптирано . За това остана само да се блокира ризолва, като се пренасочи същият към рутера , а в него има статичен запис със същият regexp с невалиден локален адрес .

Адрес на коментара
Сподели в други сайтове

  • 0

Сега пробвам и с youtube, abv.bg  - пак не става номера. Триволта, може ли малко по-вече разаснения, кое как, не съм чак толкова добре запознат с тези настройки. От нета ги бях намерил, гледах и клипчета и всички го правят както аз, ама не ще ве..

Редактирано от velko
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Редиректваш в dstnat DNS зайвките на 53 порт и по TCP и по UDP от локалният сегмент към рутера , който ще е DNS ризолвър . В него ще добавиш  статично ентри с Regexp "^.+(facebook.com).*$" да е с адрес пример 127.0.01 и по този начин няма да се ризолва страницата на потребителя !

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Ето тук едно видео как става, но явно трябва да се ъпдейтне с версия 6.. нещо си, няма в моите настройки TLS Host. Сега ще осмисля какво точно трябва да се направи точно по казаното от трите волта.

П.П. Извинявам се, но може ли по-точно не съм системен администратор все пак :)

Редактирано от velko
Адрес на коментара
Сподели в други сайтове

  • 0

Пробвах и с тук намерена тема с адрес листа на фейса, както и тук - но за съжаление нищо не се получава, все едно че никакви правила и филтри няма - никаква ама никаква промяна. Гати фейса разката ми фамилията...

Редактирано от velko
Адрес на коментара
Сподели в други сайтове

  • 0

Защо не пробваш с content facebook  .... май го имаше и в по-старите версии на ROS ..... а ъпдейта до последната версия принципно е добра идея

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 4 часа, velko написа:

П.П. Извинявам се, но може ли по-точно не съм системен администратор все пак :)

Ako WAN е ether1 , a адрса на рутера за LAN е 192.168.88.1 то това са правилата:

####ROS v6+#####
/ip dns set allow-remote-requests=yes servers="8.8.8.8,1.1.1.1"
/ip dns static add address=172.0.0.1 comment="Block FACEBOOK" regexp="^(.*)(facebook)(.*)\$"
/ip fi raw add action=drop chain=prerouting dst-port=53 in-interface=ether1 protocol=udp
/ip fi raw add action=drop chain=prerouting dst-port=53 in-interface=ether1 protocol=tcp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=udp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=tcp
####ROS v5+#####
/ip dns set allow-remote-requests=yes servers="8.8.8.8,1.1.1.1"
/ip dns static add address=172.0.0.1 comment="Block FACEBOOK" regexp="^(.*)(facebook)(.*)\$"
/ip fi fi add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp place-before=1
/ip fi fi add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp place-before=1
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=udp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=tcp

 

Първи ред ти пуска рутера да е DNS , който ще се обръща за ризолв към 8.8.8.8 и 1.1.1.1

Втори ред добавяме статично ентри  в DNS с невалиден IP адрес за Facebook

Трети и читвърти ред блокират заявки към рутера за ризолв от публичното пространство 

Пети и шести ред пренасочват заявки от вътрешната мрежа за ризолв към рутера

...... да не забравиш да почерпиш виртуална бира :)

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Facebook е непобедим!!! WAN е ether1 , a адрса на рутера за LAN е 192.168.123.1, поправих в скрипта ама то нерви не останаха ве хора - неще по никакъв начин. Благодаря за помоща, ще черпя разбира се, но не се отказвам....🍺

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 1 час, velko написа:

Facebook е непобедим!!! WAN е ether1 , a адрса на рутера за LAN е 192.168.123.1, поправих в скрипта ама то нерви не останаха ве хора - неще по никакъв начин. Благодаря за помоща, ще черпя разбира се, но не се отказвам....🍺

На мобилните устройства е по-трудна задачата да се спре - като се ползва с приложение за андроид ! Това работи за браузъри и PC на 100%

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
преди 5 минути, JohnTRIVOLTA написа:

На мобилните устройства е по-трудна задачата да се спре ! Това работи за PC на 100%

Ами ще разгледам подробно утре във правилата и филтрите които се създават. Как да ги спра тези мрежи, кои по-точно?  За сега лека вечер на всички отзовали се.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 4 часа, velko написа:

Ами ще разгледам подробно утре във правилата и филтрите които се създават. Как да ги спра тези мрежи, кои по-точно?  За сега лека вечер на всички отзовали се.

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Момчета, не може да се победи тоз змей фейсбук. Всичко каквото е написано тук и там, по всякакви начини го правя и накрая...пак се отваря.. и незнам вече, взех да си мисля че рутера е повреден. Каквото и правило да създам примерно за някъв сайт, все едно че нищо не съм създал. Създадох едно правило накрая да дропне всички адреси от адрес листа на цялата мрежа - получи се, спря им нета, е начи работи, ма нищо не мога да им забраня кат сайтове😀.

Редактирано от velko
Адрес на коментара
Сподели в други сайтове

  • 0

Имаш някое "общо" правило някъде, което разрешава "всичко", примерно.

За DNS, клиентите може да решат да ползват secure DNS, който минава през SSL/TLS и там вече не можеш (почти). Има достатъчно налични публични DNSSEC.

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 4 часа, velko написа:

Момчета, не може да се победи тоз змей фейсбук. Всичко каквото е написано тук и там, по всякакви начини го правя и накрая...пак се отваря.. и незнам вече, взех да си мисля че рутера е повреден. Каквото и правило да създам примерно за някъв сайт, все едно че нищо не съм създал. Създадох едно правило накрая да дропне всички адреси от адрес листа на цялата мрежа - получи се, спря им нета, е начи работи, ма нищо не мога да им забраня кат сайтове😀.

Нали знаеш, че правилата се изпълняват последователно от горе надолу.

А за това: "За DNS, клиентите може да решат да ползват secure DNS, който минава през SSL/TLS и там вече не можеш (почти). Има достатъчно налични публични DNSSEC"

Има написани и по-големи глупости - DNSSEC се спира с 2 правила.

 

Редактирано от Щирлиц
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.