Jump to content
  • 0

Бяла листа в микротик за интернет страници (Whitelist)


msboy
 Share

Question

Здравейте колеги !

От известно време се мъча да създам "бяла листа" в Микротик за зареждане само на 300-400 интернет страници и блокиране на всички други интернет страници. 

За блокиране на порно съдържание решението е ясно с OpenDNS или друг DNS, който ги блокира. Тук идеята е да се дропват сайтове за обувки, онлайн поръчки, поли, времето, новини и т.н.т. а да се зареждат само определени адреси , които са вкарани в тази бяла листа.

Пробвах с:

/ip firewall filter
add action=accept chain=forward dst-address-list="Allowed Websites" dst-port=80,443 protocol=tcp
add action=drop chain=forward dst-port=80,443 protocol=tcp

/ip firewall address-list
add address=www.abv.bg list="Allowed Websites"
add address=www.youtube.com list="Allowed Websites" и т.н.т

Този вариант работи т.е. реже всички останали сайтове но адресите, които са в бялата листа не се зареждат коректно, защото всеки сайт вътре в себе си има връзка с друг сайт или друга услуга на друг адрес. Например abv.bg началната се зарежда половинчато защото вътре в себе си има връзка със сума ти сайтове а те реално не са в бялата листа защото няма как да знам, кой сайт с колко други има връзка. И когато в даден момент се промени някой компонент от сайт в бялата лиса аз няма как да узная за това и пак ще има проблеми със зареждането.  Има ли решение на този проблем или е мисия невъзможна ?

 

Edited by msboy
грешка
Link to comment
Share on other sites

14 answers to this question

Recommended Posts

  • 0
  • Administrator

Микрософт са го измислили това, работи като каптив портал дори.

Има си готов каталог са сайтове от цял свят по категории.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Posted (edited)
Преди 1 час, 111111 написа:

Микрософт са го измислили това, работи като каптив портал дори.

Има си готов каталог са сайтове от цял свят по категории.

За Майкрософт визираш Azure ли? Доколкото разбирам везните клонят към това да си имаш собствен DNS запис или собствен DNS сървър. В България единственото което откривам е на www.cloudns.net ....поне аз не откривам друга фирма, която да предлага такава услуга. Как така не са се сетили да направят такава услуга (а има крещяща нужда от такава). Да кажем за 40-50 лв. на месец. би било приемливо и достъпно :) 

Edited by msboy
грешка
Link to comment
Share on other sites

  • 0
  • Administrator

По скоро си направи свой си
https://pi-hole.net

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

То хубаво е ПиХол-чето, но кak процедирате, ако се ползва пример Firefox  и някой си активират DoH в него ... или пък си сетне Фоксипрокси към любимият си домашен рутер на него браузър ?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0
  • Administrator

блоквам му DOH порта 😉

torch-dns-over-https-cloudflare.png.webp

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
преди 34 минути, 111111 написа:

блоквам му DOH порта 😉

torch-dns-over-https-cloudflare.png.webp

 Да има лист, който може да се сваля със задача за блокиране , но сокса и прокситата си е трудно за пълно блокиране ! Просто искам да разбера кой какво ползва или каква комбинация от методи !

Link to comment
Share on other sites

  • 0
преди 17 минути, JohnTRIVOLTA написа:

 Да има лист, който може да се сваля със задача за блокиране , но сокса и прокситата си е трудно за пълно блокиране ! Просто искам да разбера кой какво ползва или каква комбинация от методи !

Да разбирам ли,че няма унифициран метод със софтуер или хардуер да се осъществи цялостна блокировка и филтриране с бяла листа :) Какво правят корпоративните мрежи ми е много чудно където рестрикцията е на много високо ниво. И Cisco ли няма такова решение (хардуерно). Не се занимавам със Cisco и заради това питам ?

Link to comment
Share on other sites

  • 0
Преди 13 часа, msboy написа:

Да разбирам ли,че няма унифициран метод със софтуер или хардуер да се осъществи цялостна блокировка и филтриране с бяла листа :) Какво правят корпоративните мрежи ми е много чудно където рестрикцията е на много високо ниво. И Cisco ли няма такова решение (хардуерно). Не се занимавам със Cisco и заради това питам ?

Има, но за тази цел трябва да се ползва стена от рода на Sophos където в NAT правилата могат се вграждат различни policies, extensions, ulr groups, file types, aplications filters, content filters и тн. Шотовете са от Sophos XG 125, която сме ползвали по училищните програми. Стената работи страхотно, проблема е цената.

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

Link to comment
Share on other sites

  • 0
Преди 8 часа, Стоян Иванов написа:

Има, но за тази цел трябва да се ползва стена от рода на Sophos където в NAT правилата могат се вграждат различни policies, extensions, ulr groups, file types, aplications filters, content filters и тн. Шотовете са от Sophos XG 125, която сме ползвали по училищните програми. Стената работи страхотно, проблема е цената.

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

При блокиране на адреси или цели групи (порно, реклами, фейс и т.н.т)  сработват то това е ясно но когато се отреже целия трафик и се пуснат 10 адреса в бялата листа адресите от бялата листа не се зареждат коректно защото имат връзки с библиотеки, java скриптове и т.н.т с други сайтове. С pfsense и pi-hole не става. В понеделник ще се свържа с дистрибутора на Sophos и Sonicwall да видим какво ще кажат :)

Link to comment
Share on other sites

  • 0

Ето и официален отговор от Netgate с Pfsense :

Цитат

Netgate systems would respond the same way since the whitelist links to other external resources fall outside of the whitelist. Unfortunately, we are unable to meet your needs.

 
Best regards,
 
Bob

 

Link to comment
Share on other sites

  • 0

Хайде да е за всички скриптчето за DoH адресите :

/system script
add dont-require-permissions=no name=DOHipv4 source=" \
    \_ :if ( [/file get [/file find name=DOHipv4.txt] size] > 0 ) do={\r\
    \n   /ip firewall address-list remove [/ip firewall address-list find list\
    =DOHipv4]\r\
    \n   :global content [/file get [/file find name=DOHipv4.txt] contents] ;\
    \r\
    \n   :global contentLen [ :len \$content ] ;\r\
    \n   :global lineEnd 0;\r\
    \n   :global line \"\";\r\
    \n   :global lastEnd 0;\r\
    \n   \r\
    \n   :do {\r\
    \n         :set lineEnd [:find \$content \"\\n\" \$lastEnd ] ;\r\
    \n         :set line [:pick \$content \$lastEnd \$lineEnd] ;\r\
    \n         :set lastEnd ( \$lineEnd + 1 ) ;\r\
    \n         :if ( [:pick \$line 0 1] != \"#\" ) do={\r\
    \n        :local entry [:pick \$line 0 \$lineEnd ]\r\
    \n        :if ( [:len \$entry ] > 0 ) do={\r\
    \n           /ip firewall address-list add list=DOHipv4 address=\$entry\r\
    \n        }\r\
    \n      }\r\
    \n   } while (\$lineEnd < \$contentLen)\r\
    \n   }"
/system schedule
add interval=1d name="DoH servers list update" on-event="/tool fetch url=https\
    ://raw.githubusercontent.com/jpgpi250/piholemanual/master/DOHipv4.txt mode\
    =https \r\
    \n   :delay 10\r\
    \n/system script run DOHipv4"

 

Edited by JohnTRIVOLTA
  • Like 1
  • Thanks 1
Link to comment
Share on other sites

  • 0
  • Administrator

И не забравяйте 
 

/ip firewall filter
add action=drop chain=forward comment="block DoH" dst-address-list="DOHipv4" place-before=1

И бъдете сигурни какво правите

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.