Jump to content
  • 0
velko

Layer7 Protocols проблем

Въпрос

velko

Преди време сменихме RB2011UiAS-IN, понеже пострада от близко попадение на мълния, със RB2011LS. Разликата е, че новия няма дисплейчето само. ОС е 5.21 - прехвърлихме бекъпа от стария и си потегли всичко, имаме 10-тина компютърчета вързани. Сега установявам, че всички си цъкат фейсбук, въпреки че са направени настройки в Layer7 в Regexp е записано  -    "^.+(facebook.com).*$", action -drop, за цялата мрежа 10.10.10.0/24. Преди си работеше сега не ще, изтрих всичко във Filter Rules, наново създавах, по отделно за всеки комп и неще и не ще. На някой случвало ли му се е такова нещо.

Редактирано от velko

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
JohnTRIVOLTA
преди 3 минути, velko написа:

Преди време сменихме RB2011UiAS-IN, понеже пострада от близко попадение на мълния, със RB2011LS. Разликата е, че новия няма дисплейчето само. ОС е 5.21 - прехвърлихме бекъпа от стария и си потегли всичко, имаме 10-тина компютърчета вързани. Сега установявам, че всички си цъкат фейсбук, въпреки че са направени настройки в Layer7 в Regexp е записано  -    "^.+(facebook.com).*$", action -drop, за цялата мрежа 10.10.10.0/24. Преди си работеше сега не ще, изтрих всичко във Filter Rules, наново създавах, по отделно за всеки комп и неще и не ще. На някой случвало ли му се е такова нещо.

Така е защото връзката е по TLS , т.е.  не може да се прочете криптирано . За това остана само да се блокира ризолва, като се пренасочи същият към рутера , а в него има статичен запис със същият regexp с невалиден локален адрес .

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
velko

Сега пробвам и с youtube, abv.bg  - пак не става номера. Триволта, може ли малко по-вече разаснения, кое как, не съм чак толкова добре запознат с тези настройки. От нета ги бях намерил, гледах и клипчета и всички го правят както аз, ама не ще ве..

Редактирано от velko

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA

Редиректваш в dstnat DNS зайвките на 53 порт и по TCP и по UDP от локалният сегмент към рутера , който ще е DNS ризолвър . В него ще добавиш  статично ентри с Regexp "^.+(facebook.com).*$" да е с адрес пример 127.0.01 и по този начин няма да се ризолва страницата на потребителя !

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
velko

Ето 

Моля, влезте или се регистрирайте, за да видите този link.

 едно видео как става, но явно трябва да се ъпдейтне с версия 6.. нещо си, няма в моите настройки TLS Host. Сега ще осмисля какво точно трябва да се направи точно по казаното от трите волта.

П.П. Извинявам се, но може ли по-точно не съм системен администратор все пак :)

Редактирано от velko

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
velko

Пробвах и с тук намерена тема с адрес листа на фейса, както и 

Моля, влезте или се регистрирайте, за да видите този link.

- но за съжаление нищо не се получава, все едно че никакви правила и филтри няма - никаква ама никаква промяна. Гати фейса разката ми фамилията...

Редактирано от velko

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Щирлиц

Защо не пробваш с content facebook  .... май го имаше и в по-старите версии на ROS ..... а ъпдейта до последната версия принципно е добра идея

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
Преди 4 часа, velko написа:

П.П. Извинявам се, но може ли по-точно не съм системен администратор все пак :)

Ako WAN е ether1 , a адрса на рутера за LAN е 192.168.88.1 то това са правилата:

####ROS v6+#####
/ip dns set allow-remote-requests=yes servers="8.8.8.8,1.1.1.1"
/ip dns static add address=172.0.0.1 comment="Block FACEBOOK" regexp="^(.*)(facebook)(.*)\$"
/ip fi raw add action=drop chain=prerouting dst-port=53 in-interface=ether1 protocol=udp
/ip fi raw add action=drop chain=prerouting dst-port=53 in-interface=ether1 protocol=tcp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=udp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=tcp
####ROS v5+#####
/ip dns set allow-remote-requests=yes servers="8.8.8.8,1.1.1.1"
/ip dns static add address=172.0.0.1 comment="Block FACEBOOK" regexp="^(.*)(facebook)(.*)\$"
/ip fi fi add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp place-before=1
/ip fi fi add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp place-before=1
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=udp
/ip fi nat add action=redirect chain=dstnat dst-address=!192.168.88.1 dst-port=53 in-interface=!ether1 protocol=tcp

 

Първи ред ти пуска рутера да е DNS , който ще се обръща за ризолв към 8.8.8.8 и 1.1.1.1

Втори ред добавяме статично ентри  в DNS с невалиден IP адрес за Facebook

Трети и читвърти ред блокират заявки към рутера за ризолв от публичното пространство 

Пети и шести ред пренасочват заявки от вътрешната мрежа за ризолв към рутера

...... да не забравиш да почерпиш виртуална бира :)

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
velko

Facebook е непобедим!!! WAN е ether1 , a адрса на рутера за LAN е 192.168.123.1, поправих в скрипта ама то нерви не останаха ве хора - неще по никакъв начин. Благодаря за помоща, ще черпя разбира се, но не се отказвам....🍺

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
Преди 1 час, velko написа:

Facebook е непобедим!!! WAN е ether1 , a адрса на рутера за LAN е 192.168.123.1, поправих в скрипта ама то нерви не останаха ве хора - неще по никакъв начин. Благодаря за помоща, ще черпя разбира се, но не се отказвам....🍺

На мобилните устройства е по-трудна задачата да се спре - като се ползва с приложение за андроид ! Това работи за браузъри и PC на 100%

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
velko
преди 5 минути, JohnTRIVOLTA написа:

На мобилните устройства е по-трудна задачата да се спре ! Това работи за PC на 100%

Ами ще разгледам подробно утре във правилата и филтрите които се създават. Как да ги спра тези мрежи, кои по-точно?  За сега лека вечер на всички отзовали се.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111
Преди 4 часа, velko написа:

Ами ще разгледам подробно утре във правилата и филтрите които се създават. Как да ги спра тези мрежи, кои по-точно?  За сега лека вечер на всички отзовали се.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
velko

Момчета, не може да се победи тоз змей фейсбук. Всичко каквото е написано тук и там, по всякакви начини го правя и накрая...пак се отваря.. и незнам вече, взех да си мисля че рутера е повреден. Каквото и правило да създам примерно за някъв сайт, все едно че нищо не съм създал. Създадох едно правило накрая да дропне всички адреси от адрес листа на цялата мрежа - получи се, спря им нета, е начи работи, ма нищо не мога да им забраня кат сайтове😀.

Редактирано от velko

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
trapatoni

Имаш някое "общо" правило някъде, което разрешава "всичко", примерно.

За DNS, клиентите може да решат да ползват secure DNS, който минава през SSL/TLS и там вече не можеш (почти). Има достатъчно налични публични DNSSEC.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Щирлиц
Преди 4 часа, velko написа:

Момчета, не може да се победи тоз змей фейсбук. Всичко каквото е написано тук и там, по всякакви начини го правя и накрая...пак се отваря.. и незнам вече, взех да си мисля че рутера е повреден. Каквото и правило да създам примерно за някъв сайт, все едно че нищо не съм създал. Създадох едно правило накрая да дропне всички адреси от адрес листа на цялата мрежа - получи се, спря им нета, е начи работи, ма нищо не мога да им забраня кат сайтове😀.

Нали знаеш, че правилата се изпълняват последователно от горе надолу.

А за това: "За DNS, клиентите може да решат да ползват secure DNS, който минава през SSL/TLS и там вече не можеш (почти). Има достатъчно налични публични DNSSEC"

Има написани и по-големи глупости - DNSSEC се спира с 2 правила.

 

Редактирано от Щирлиц

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гост
Отговори на въпроса...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.