Бяла листа в микротик за интернет страници (Whitelist)

[msboy]

Здравейте колеги !

От известно време се мъча да създам "бяла листа" в Микротик за зареждане само на 300-400 интернет страници и блокиране на всички други интернет страници. 

За блокиране на порно съдържание решението е ясно с OpenDNS или друг DNS, който ги блокира. Тук идеята е да се дропват сайтове за обувки, онлайн поръчки, поли, времето, новини и т.н.т. а да се зареждат само определени адреси , които са вкарани в тази бяла листа.

Пробвах с:

/ip firewall filter
add action=accept chain=forward dst-address-list="Allowed Websites" dst-port=80,443 protocol=tcp
add action=drop chain=forward dst-port=80,443 protocol=tcp

/ip firewall address-list
add address=www.abv.bg list="Allowed Websites"
add address=www.youtube.com list="Allowed Websites" и т.н.т

Този вариант работи т.е. реже всички останали сайтове но адресите, които са в бялата листа не се зареждат коректно, защото всеки сайт вътре в себе си има връзка с друг сайт или друга услуга на друг адрес. Например abv.bg началната се зарежда половинчато защото вътре в себе си има връзка със сума ти сайтове а те реално не са в бялата листа защото няма как да знам, кой сайт с колко други има връзка. И когато в даден момент се промени някой компонент от сайт в бялата лиса аз няма как да узная за това и пак ще има проблеми със зареждането.  Има ли решение на този проблем или е мисия невъзможна ?

 

Edited March 26, 2021 by msboy
грешка

[Щирлиц]

С Микротик няма да стане.

[111111]

Микрософт са го измислили това, работи като каптив портал дори.

Има си готов каталог са сайтове от цял свят по категории.

[msboy]

Преди 1 час, 111111 написа:

Микрософт са го измислили това, работи като каптив портал дори.

Има си готов каталог са сайтове от цял свят по категории.

За Майкрософт визираш Azure ли? Доколкото разбирам везните клонят към това да си имаш собствен DNS запис или собствен DNS сървър. В България единственото което откривам е на www.cloudns.net ....поне аз не откривам друга фирма, която да предлага такава услуга. Как така не са се сетили да направят такава услуга (а има крещяща нужда от такава). Да кажем за 40-50 лв. на месец. би било приемливо и достъпно  

Edited March 26, 2021 by msboy
грешка

[111111]

По скоро си направи свой си
https://pi-hole.net

[niki6]

Brave - Pi-Hole  едно много добро решение .

 

[JohnTRIVOLTA]

То хубаво е ПиХол-чето, но кak процедирате, ако се ползва пример Firefox  и някой си активират DoH в него ... или пък си сетне Фоксипрокси към любимият си домашен рутер на него браузър ?

Edited March 26, 2021 by JohnTRIVOLTA

[111111]

блоквам му DOH порта

[JohnTRIVOLTA]

преди 34 минути, 111111 написа:

блоквам му DOH порта

 Да има лист, който може да се сваля със задача за блокиране , но сокса и прокситата си е трудно за пълно блокиране ! Просто искам да разбера кой какво ползва или каква комбинация от методи !

[msboy]

преди 17 минути, JohnTRIVOLTA написа:

 Да има лист, който може да се сваля със задача за блокиране , но сокса и прокситата си е трудно за пълно блокиране ! Просто искам да разбера кой какво ползва или каква комбинация от методи !

Да разбирам ли,че няма унифициран метод със софтуер или хардуер да се осъществи цялостна блокировка и филтриране с бяла листа Какво правят корпоративните мрежи ми е много чудно където рестрикцията е на много високо ниво. И Cisco ли няма такова решение (хардуерно). Не се занимавам със Cisco и заради това питам ?

[Стоян Иванов]

Преди 13 часа, msboy написа:

Да разбирам ли,че няма унифициран метод със софтуер или хардуер да се осъществи цялостна блокировка и филтриране с бяла листа Какво правят корпоративните мрежи ми е много чудно където рестрикцията е на много високо ниво. И Cisco ли няма такова решение (хардуерно). Не се занимавам със Cisco и заради това питам ?

Има, но за тази цел трябва да се ползва стена от рода на Sophos където в NAT правилата могат се вграждат различни policies, extensions, ulr groups, file types, aplications filters, content filters и тн. Шотовете са от Sophos XG 125, която сме ползвали по училищните програми. Стената работи страхотно, проблема е цената.

[msboy]

Преди 8 часа, Стоян Иванов написа:

Има, но за тази цел трябва да се ползва стена от рода на Sophos където в NAT правилата могат се вграждат различни policies, extensions, ulr groups, file types, aplications filters, content filters и тн. Шотовете са от Sophos XG 125, която сме ползвали по училищните програми. Стената работи страхотно, проблема е цената.

При блокиране на адреси или цели групи (порно, реклами, фейс и т.н.т)  сработват то това е ясно но когато се отреже целия трафик и се пуснат 10 адреса в бялата листа адресите от бялата листа не се зареждат коректно защото имат връзки с библиотеки, java скриптове и т.н.т с други сайтове. С pfsense и pi-hole не става. В понеделник ще се свържа с дистрибутора на Sophos и Sonicwall да видим какво ще кажат

[msboy]

Ето и официален отговор от Netgate с Pfsense :

Цитат

Netgate systems would respond the same way since the whitelist links to other external resources fall outside of the whitelist. Unfortunately, we are unable to meet your needs.

 

Best regards,

 

Bob

 

[JohnTRIVOLTA]

Хайде да е за всички скриптчето за DoH адресите :

/system script
add dont-require-permissions=no name=DOHipv4 source=" \
    \_ :if ( [/file get [/file find name=DOHipv4.txt] size] > 0 ) do={\r\
    \n   /ip firewall address-list remove [/ip firewall address-list find list\
    =DOHipv4]\r\
    \n   :global content [/file get [/file find name=DOHipv4.txt] contents] ;\
    \r\
    \n   :global contentLen [ :len \$content ] ;\r\
    \n   :global lineEnd 0;\r\
    \n   :global line \"\";\r\
    \n   :global lastEnd 0;\r\
    \n   \r\
    \n   :do {\r\
    \n         :set lineEnd [:find \$content \"\\n\" \$lastEnd ] ;\r\
    \n         :set line [:pick \$content \$lastEnd \$lineEnd] ;\r\
    \n         :set lastEnd ( \$lineEnd + 1 ) ;\r\
    \n         :if ( [:pick \$line 0 1] != \"#\" ) do={\r\
    \n        :local entry [:pick \$line 0 \$lineEnd ]\r\
    \n        :if ( [:len \$entry ] > 0 ) do={\r\
    \n           /ip firewall address-list add list=DOHipv4 address=\$entry\r\
    \n        }\r\
    \n      }\r\
    \n   } while (\$lineEnd < \$contentLen)\r\
    \n   }"
/system schedule
add interval=1d name="DoH servers list update" on-event="/tool fetch url=https\
    ://raw.githubusercontent.com/jpgpi250/piholemanual/master/DOHipv4.txt mode\
    =https \r\
    \n   :delay 10\r\
    \n/system script run DOHipv4"

 

Edited April 1, 2021 by JohnTRIVOLTA

[111111]

И не забравяйте 
 

/ip firewall filter
add action=drop chain=forward comment="block DoH" dst-address-list="DOHipv4" place-before=1

И бъдете сигурни какво правите