Layer7 Protocols проблем

[velko]

Преди време сменихме RB2011UiAS-IN, понеже пострада от близко попадение на мълния, със RB2011LS. Разликата е, че новия няма дисплейчето само. ОС е 5.21 - прехвърлихме бекъпа от стария и си потегли всичко, имаме 10-тина компютърчета вързани. Сега установявам, че всички си цъкат фейсбук, въпреки че са направени настройки в Layer7 в Regexp е записано  -    "^.+(facebook.com).*$", action -drop, за цялата мрежа 10.10.10.0/24. Преди си работеше сега не ще, изтрих всичко във Filter Rules, наново създавах, по отделно за всеки комп и неще и не ще. На някой случвало ли му се е такова нещо.

Edited November 12, 2019 by velko

[JohnTRIVOLTA]

преди 3 минути, velko написа:

Преди време сменихме RB2011UiAS-IN, понеже пострада от близко попадение на мълния, със RB2011LS. Разликата е, че новия няма дисплейчето само. ОС е 5.21 - прехвърлихме бекъпа от стария и си потегли всичко, имаме 10-тина компютърчета вързани. Сега установявам, че всички си цъкат фейсбук, въпреки че са направени настройки в Layer7 в Regexp е записано  -    "^.+(facebook.com).*$", action -drop, за цялата мрежа 10.10.10.0/24. Преди си работеше сега не ще, изтрих всичко във Filter Rules, наново създавах, по отделно за всеки комп и неще и не ще. На някой случвало ли му се е такова нещо.

Така е защото връзката е по TLS , т.е.  не може да се прочете криптирано . За това остана само да се блокира ризолва, като се пренасочи същият към рутера , а в него има статичен запис със същият regexp с невалиден локален адрес .

[velko]

Сега пробвам и с youtube, abv.bg  - пак не става номера. Триволта, може ли малко по-вече разаснения, кое как, не съм чак толкова добре запознат с тези настройки. От нета ги бях намерил, гледах и клипчета и всички го правят както аз, ама не ще ве..

Edited November 12, 2019 by velko

[JohnTRIVOLTA]

Редиректваш в dstnat DNS зайвките на 53 порт и по TCP и по UDP от локалният сегмент към рутера , който ще е DNS ризолвър . В него ще добавиш  статично ентри с Regexp "^.+(facebook.com).*$" да е с адрес пример 127.0.01 и по този начин няма да се ризолва страницата на потребителя !

Edited November 12, 2019 by JohnTRIVOLTA

[velko]

Ето тук едно видео как става, но явно трябва да се ъпдейтне с версия 6.. нещо си, няма в моите настройки TLS Host. Сега ще осмисля какво точно трябва да се направи точно по казаното от трите волта.

П.П. Извинявам се, но може ли по-точно не съм системен администратор все пак

Edited November 12, 2019 by velko

[velko]

Пробвах и с тук намерена тема с адрес листа на фейса, както и тук - но за съжаление нищо не се получава, все едно че никакви правила и филтри няма - никаква ама никаква промяна. Гати фейса разката ми фамилията...

Edited November 12, 2019 by velko

[Щирлиц]

Защо не пробваш с content facebook  .... май го имаше и в по-старите версии на ROS ..... а ъпдейта до последната версия принципно е добра идея

[JohnTRIVOLTA]

Преди 4 часа, velko написа:

П.П. Извинявам се, но може ли по-точно не съм системен администратор все пак

Ako WAN е ether1 , a адрса на рутера за LAN е 192.168.88.1 то това са правилата:

####ROS v6+#####
/ip dns set allow-remote-requests=yes servers="8.8.8.8,1.1.1.1"
/ip dns static add address=172.0.0.1 comment="Block FACEBOOK" regexp="^(.*)(facebook)(.*)\$"
/ip fi raw add action=drop chain=prerouting dst-port=53 in-interface=ether1 protocol=udp
/ip fi raw add action=drop chain=prerouting dst-port=53 in-interface=ether1 protocol=tcp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=udp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=tcp
####ROS v5+#####
/ip dns set allow-remote-requests=yes servers="8.8.8.8,1.1.1.1"
/ip dns static add address=172.0.0.1 comment="Block FACEBOOK" regexp="^(.*)(facebook)(.*)\$"
/ip fi fi add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp place-before=1
/ip fi fi add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp place-before=1
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=udp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=tcp

 

Първи ред ти пуска рутера да е DNS , който ще се обръща за ризолв към 8.8.8.8 и 1.1.1.1

Втори ред добавяме статично ентри  в DNS с невалиден IP адрес за Facebook

Трети и читвърти ред блокират заявки към рутера за ризолв от публичното пространство 

Пети и шести ред пренасочват заявки от вътрешната мрежа за ризолв към рутера

...... да не забравиш да почерпиш виртуална бира

Edited November 12, 2019 by JohnTRIVOLTA

[velko]

Facebook е непобедим!!! WAN е ether1 , a адрса на рутера за LAN е 192.168.123.1, поправих в скрипта ама то нерви не останаха ве хора - неще по никакъв начин. Благодаря за помоща, ще черпя разбира се, но не се отказвам....

[JohnTRIVOLTA]

Преди 1 час, velko написа:

Facebook е непобедим!!! WAN е ether1 , a адрса на рутера за LAN е 192.168.123.1, поправих в скрипта ама то нерви не останаха ве хора - неще по никакъв начин. Благодаря за помоща, ще черпя разбира се, но не се отказвам....

На мобилните устройства е по-трудна задачата да се спре - като се ползва с приложение за андроид ! Това работи за браузъри и PC на 100%

Edited November 12, 2019 by JohnTRIVOLTA

[master]

Спрях всички мрежи които се използват от фб и всичко е наред.)

[velko]

преди 5 минути, JohnTRIVOLTA написа:

На мобилните устройства е по-трудна задачата да се спре ! Това работи за PC на 100%

Ами ще разгледам подробно утре във правилата и филтрите които се създават. Как да ги спра тези мрежи, кои по-точно?  За сега лека вечер на всички отзовали се.

[111111]

Преди 4 часа, velko написа:

Ами ще разгледам подробно утре във правилата и филтрите които се създават. Как да ги спра тези мрежи, кои по-точно?  За сега лека вечер на всички отзовали се.

 

[velko]

Момчета, не може да се победи тоз змей фейсбук. Всичко каквото е написано тук и там, по всякакви начини го правя и накрая...пак се отваря.. и незнам вече, взех да си мисля че рутера е повреден. Каквото и правило да създам примерно за някъв сайт, все едно че нищо не съм създал. Създадох едно правило накрая да дропне всички адреси от адрес листа на цялата мрежа - получи се, спря им нета, е начи работи, ма нищо не мога да им забраня кат сайтове.

Edited November 13, 2019 by velko

[trapatoni]

Имаш някое "общо" правило някъде, което разрешава "всичко", примерно.

За DNS, клиентите може да решат да ползват secure DNS, който минава през SSL/TLS и там вече не можеш (почти). Има достатъчно налични публични DNSSEC.

[Щирлиц]

Преди 4 часа, velko написа:

Момчета, не може да се победи тоз змей фейсбук. Всичко каквото е написано тук и там, по всякакви начини го правя и накрая...пак се отваря.. и незнам вече, взех да си мисля че рутера е повреден. Каквото и правило да създам примерно за някъв сайт, все едно че нищо не съм създал. Създадох едно правило накрая да дропне всички адреси от адрес листа на цялата мрежа - получи се, спря им нета, е начи работи, ма нищо не мога да им забраня кат сайтове.

Нали знаеш, че правилата се изпълняват последователно от горе надолу.

А за това: "За DNS, клиентите може да решат да ползват secure DNS, който минава през SSL/TLS и там вече не можеш (почти). Има достатъчно налични публични DNSSEC"

Има написани и по-големи глупости - DNSSEC се спира с 2 правила.

 

Edited November 13, 2019 by Щирлиц