pa mozes u firewall-u dropovat ip adresu tog sajta ;)

Tako sam i uradio nakon 5 min. od kad sam postavio pitanje .. Hvala na odgovoru brate

Svako dobro !

ovako, i mene zanima ovo, ali imam drugaciju konfiguraciju mikrotika. ja imam web proxy na portu 8080, tako da npr. pravilo
ne pije vode, jer korisnici ne dobijaju stranicu direktno, nego im to proxy isporucuje. sad cete reci, pa posto imas proxy, to i ne moras raditi preko firewalla. kad zabranim stranicu preko proxy-a, korisnici dobiju obavjestenje od proxy-a da im stranica ne moze biti isporucena, i odmah znaju da sam ja (admin) tu nesto cackao, i ne mogu ostati ziv od pitanja, sto ovo nece, sto ono nece......... kad bih im zabranio preko firewalla da posjete neku stranicu, ne bi dobili nikakvo obavjestenje od routera, vec samo obavjest od internet pretrazicavaca da stranica ne moze biti pronadjena, i ja bih tu bio miran :) znaci, kako natjerati tik, da userov zahtjev ka nekoj stranici (IP adresi, opsegu ip adresa) ne proslijedi do proxy-a, nego da ga dropuje odmah. valjda sam dobro objasnio svoj problem. HVALA na svakoj pomoci.

da nije mozda
/ip firewall filter chain=INPUT src-address=192.168.12.0/24 dst-address=91.185.196.0/24 action=drop
mada nije reshenje da blokirash po ip adresi,jer se deshava da na jednom Ip imash vishe web sajtova,tako da blokirash jos nesto sto nezelish

ama isto bude, ili stavio forward ili input. problem je sto pravila iz nata imaju prioritet nad pravilima iz firewall-a :(:(

Ljudi, i meni treba ovako nesto, samo me zanima kako ste dosli do:
ip firewall filter chain=forward src-address=192.168.12.0/24 dst-address=91.185.196.0/24 action=drop

Gde upisujete to?

A zar saobracaj sa proksija ka tom sajtu ne spada u output chain?

Jesi probao ovako nesto: /ip firewall filter chain=output dst-address=[adresa koja se blokira] action=drop

E sad, nisam koristio nikad proxy tako da ne znam sta ce proxy da vrati klijentu kada shvati da ne moze da uspostavi vezu sa udaljenim racunarom ali ne verujem da ce mu vratiti informaciju da ga je sasekao firewall :)

Momci,

i ja imam isti problem samo sto ja hocu da zabranim YouTube a on ima kolko sam ja provalio gomilu adresa pa je moje pitanje da li u MT moze da se podesi da zabrani odredjenu web adresu

P.S. nije mi bitno da li ce da se vidi ili ne da sam zabranio bitno mi je samo da nemogu da trose link

/system script \
add name="block_site" source={ \
:foreach i in=\
"x.x.x.x/24" \
do={ /ip firewall filter add chain=forward dst-address=$i dst-port=80 protocol=tcp action=drop } \
};



x.x.x.x = adresa web stranice koju zelite da zabranite...

Ja sam u medjuvremenu uspeo to nekako drugcije da zavrsim ali svejedno hvala a evo i linka gde mozete da pogledate kako sam ja to uradio

http://rapidshare.com/files/10...Zabrana_YouTube__MikroTik_.avi


Pozdrav

Mislim da vam je najednostavnije da se to uradi ovako i uvek radi bez obzira ako youtube doda nove servere sa novim ip adresama.

/ip firewall filter add chain=forward content="www.youtube.co
m" action=drop

I onda se neko sjeti da se:


moze da dobije sa:


tako da nema nigdje content koji zelis filtriras...


Pozdrav

da, kolega network je u pravu. ali ima tu josh jedan problem ;) sta ako useri koriste neki proxy? onda tik ne vidi koji sajt oni otvaraju, zar ne? kako userima zabraniti da koriste neki proxy? zatvaranjem poznatih proxy portova (8080, 3128, 8000...) na output konekcijama, ili?

Network u pravu si ti za to , onda da sumiramo ,podesiti oba pravila i za content i za IP adresu ,valjda nece naci treci nacin da dodju do youtube-a.Mada sad sam isprobao i mislim da bi trebalo da se naprave pravila za content samo i to u content staviti i www.youtube.com i ip adrese jer time se pokriva i slucaj sa proxy serverom jer direktno pravilo po ip adresi ne hvata pakete kad se ide preko proxy-a content varijanta hvata i preko proxya i direktno.

Po meni bi ovo radilo ovako sa proxy i bez proxy servera

/ip firewall filter add chain=forward content="www.youtube.co
m" action=drop

/ip firewall filter add chain=forward content="208.65.153.238" action=drop

_{[Ovu poruku je menjao Walker dana 19.05.2008. u 19:15 GMT+1]}

Najelegantnije rijesenje bi bilo da se uradi skripta koja provjerava "aktivni" ip youtube-a pa da ga "dinamicki" stavlja u listu za drop.

Pozdrav

Ja mislim da ako Kolins i visual_y iz ovog svega sto je napisano nisu nasli resenje za problem treba da batale da se cimaju sa MT-om

pih :) :P

Pogodak.

Ono što vama treba je skripta koja periodično proverava DNS cache Mikrotika i sakuplja IP adrese Youtube-a koje blokira i automtaski ih dodaje u listu postojećih. Postavite je da se izvršava na par sati i na konju ste. :)



Našao sam je na Mikrotikovom zvaničnom forumu. Inicijalno, ovaj skript bio je napisan za Rapidshare (originalna tema je ovde), i u principu može da se iskoristi za bilo koji sajt koji vam zadaje glavobolju jer se hostuje na farmama servera.

Svaka cast majstore - ko god da je napravio, pravi posao je uradio :D

slazem se s kolegom network10 :) svaka cast Cynic!

da, da i ja se definitivno slazem sa kolegama...

na pocetku treba dodat u address-list dvije adrese, bilo koje, sa komentarima s1 i s2.

zatim, u odredenim vremenskim razmacima pokretat gornju skriptu.
u nat drop staviti listu "jubito"

_{[Ovu poruku je menjao buha18 dana 04.01.2009. u 16:43 GMT+1]}

Šta bi u prvoj skripti trebalo prepraviti da recimo facebook i youtube budu zabranjeni svakog radnog dana od 09 - 15h, a posle toga sve normalno da funkcioniše? Znači, da ne bude totalna restrikcija za zaposlene

Mozes taj skript da stavis u scheduler da ti se startuje u 9:00 i gasi u recimo 17:00

Mozes taj skript da stavis u scheduler da ti se startuje u 9:00 i gasi u recimo 17:00

Ja koristim DNS provajdera... Onda ova skripta ne bi kod mene radila, ako nemam podignut DNS server na Mikrotiku?

Pozdrav drustvo!
Evo i da se i ja malo ukljucim u ovo....
Mozda nisam dobro shvatio , ali da li ste sigurni da ce ovakav nacin blokiranja pojedinih adresa biti uspjesno?
Naime, da li ce to blokirati i pristup pojedinim stranicama kada im korisnici pristupaju preko free anonimnih web proksija, kao sto je npr "ipodtunnel.com"...
Ako i na ovaj nacin ne dozvoljava pristup sajtu(npr youtube), onda je extra resenje, ali nisam siguran...
Da li MT moze da vrsi takvu dubinsku kontrolu paketa, pa da vidi da se u komunikaciji nekog hosta sa web proxijem, ide na facebook?
I jos samo nesto..
Moze li neko, molim vasm, posto sam relativno nov i ovoj oblasti, da mi kaze kako da ovu skriptu(prva skripta) napisem, tj kako da kreiram listu za odbacivanje paketa...?
Bio bih vam zahvalan, znaci samo da mi kazete gdje i kako, ja cu sam ostalo srediti !

Pozdrav

Skripta za provjeru DNS cash-a i liste adresa u firewallu mi ne radi... Odradio sam copy - paste u MT. Zna li neko sta nije u redu u kodu pa da popravimo? Koliko mi se cini nema dosta zagrada...

Zašto se ne proba ovako:

Sve konekcije na TCP 80 "zaokreneš" na interni proxy na MT:



U listi dalje zabranjuješ šta hoćeš.

Ovo sa proxijem radi odlično!

Kako bi se izvelo da ova zabrana važi od 09-15h svakog radnog dana? Da li je to izvodljivo?

Može, a što ne bi moglo :)
Kreiraj skript koji uključuje ovo pravilo redirekcije i u schedule na MT stavi da ga pokreće u 09h.
Kreiraš još jedan skript koji isključuje isto pravilo i taj skript kroz schedule pokreneš u 15h.

Pa i pretpostavio sam da se to nekom skriptom može riješiti. I probao sam, ali on mi dodaje novo pravilo u listi. Ne umijem da editujem već postojeće.
Kako bi trebalo da izgleda ta skripta?

ovo funka, ali je nezgodno kad korisnici otvaraju https://www.facebook.com
ima li tu nekog resenja?

zabrana https saobracaja u FW. Jest problematicno zbog drugih sajtova, ali radi.

Https koristi port 443. Možda pomogne, ako se sav saoboraćaj po tom portu redirektuje na port proxy-ija 8080 i tamo se odradi već postavljena zabrana za facebook. Mišljenja?

U proxy slozi whitelist stranica na koje mogu da idu i to je to...

Tako je, https koristi port 443 i to stavis u fw i nema ga vise. Problem je sto time zakljucavas komplet https. Mozda nesto mozes da iskemijas sa otvaranjem nekih IP za https, a sve ostale da zabranis... komplikovano.
Uzgred, https saobracaj je zatvoren od svog polazista tako da ga proxy ne moze filtrirati, ni na koji nacin jer sadrzaj zahtjeva se ne vidi a samim tim ne moze ni da se filtrira.


Ta whitelist ne utice na https saobracaj, niti bilo sta sto mozes kroz proxy da uradis.

Pa i meni je prvo palo na pamet da zatvorim 443, ali mislim da cu da napravim potencijalni problem jer mi je https potreban, a isto tako moram da zabranim facebook.
@bvladan
ovo mi nije palo na pamet, isprobacu pa cu reci da li hoce da radi.
hvala jos jednom :)

Onda dozvolis sve IP (taksativno za svaki ip) za koje ti treba https, a onda na kraj te "443 liste" stavis da dropuje sve ostale ip. Sve druge kombinacije otpadaju.
I uzaludno je prosljedjivanje saobracaja kroz 8080. Objasnio sam vec zasto. A i probao sam pa znam da ne radi.

Imam ideju kako bi se taj problem mogao rjesiti ali cu prvo kod sebe da isprobam. Ako uspijem, javim... ako ne, cutacu ko zaliven

/edit
Evo mozda moze ovo da pomogne.
U ip/dns uneses staticki zapis da ti se facebook.com nalazi na nekoj ip (recimo 74.125.39.147 google ) i kad korisnik uputi zahtjev za https://www.facebook.com, dns sa tika ce ga resolvati na ovaj google ip.

Uslov je da svi klijenti u podesavanju DNS na svojim NIC imaju primarni DNS IP od mikrotik rutera.
Nadam se da sam bio jasan

isprobacu sutra pa cu da javim. Promaklo mi je ono za redirect, hvala sto si mi skrenuo paznju da sutra ne gubim vreme :)
isto sam video i ovde pa se nadam da ce da proradi.
hvala jos jednom :)

Radi! :) To je to :)
sad umesto facebook.com otvara homepage firme...sad ostaje bojazan da neko ne bude dovoljno pametan pa da sam promeni DNS, ali se nadam da nisu toliko pametni, ipak su to obicni korisnici. Do tad moram da smislim nesto novo :)
hvala jos jednom :)

Pa to je bar lako TCP/UDP protokol, port 53 na drop osim za tvoj DNS i vozi :)

@ Neca
Super!

@ NenadS
Upravo tako...
Jedina mogucnost da IPAK izadje na facebook je TOR...

/edit

_{[Ovu poruku je menjao yolja624 dana 07.11.2011. u 17:27 GMT+1]}

uz drasticno manju brzinu i lag, nije tor bas za chat :) a drugo na facebooku sta mogu da rade, da pogledaju statuse i slike, znaci max 15min

Mada i za tor ima rjesenje...

Block TOR

Hmmm e ovaj Mikrotik bas svasta moze. Moracu da pocnem da ga ucim...

tako da sam resio problem promene dnsa :)
hvala jos jednom.

e za ovo svaka cast, nisam imao pojma

Opet ja! :)
proxy bez keša i ono fowardovanje na 8080 mi je prouzrokovalo da mi pravila u queueu ne rade kako treba :) pa sam morao sve to da pogasim i sve sam resio na dns nivou. stavio pogresne staticke dns-ove za sajtove koje cu da zabranim i to je to.

a sta ako neko digne mali lokalni dns ? blokiracesh port 53 ?

Ako neko zna da digne dns, onda zna i da zaobidje bilosta drugo.

Blokiranje je uvek kompromis izmedju upotrebljivosti i bezbednosti.

onda ispadne da to sto on radi je zapravo
uzladno i da za tim nema poente... neko iza
instalira hot spot shield i pichi po svome ...
pa ti filtriraj ...

Samo treba da premestis simple queue na lan interfejs pa ce queue raditi pre nego sto stvar ode u proksi.

E kako volim kreativce kao sto je nemesis...

Evo ti blokiran Hotspot Shield:
http://wiki.mikrotik.com/wiki/...affic%28openvpn_application%29

@predrag
tako je - tad radi queue bas kako treba.

naveo sam ti jedan primer, kao i primer kako sa dns reshish to sto ti ``admin`` zabrani u njegovom dns itd..
pitanje je samo sto bi to radio ...

A ja ti, na primjer, odmah pokazem kako se i HS Shield veoma jednostavno sprijeci...

Veseli administrator dobije naredjenje od "rukovodecih" da se ogranici koristenje NET-a samo na "poslovne svrhe", u koje ne spada ni FB ni YT ni slicni zgubidani. Nece gazde da placaju radnike koji ne rade vec se zezaju.
Sve se moze sprijeciti ako se ukaze potreba. A slucaju da imam previse kreativnog "radnika", takvog prijavim direktoru a on mu zapuca 10% minusa na platu zbog FB ili jos bolje lansira ga kuci pa nek se tamo pravi pametan

kako reshavash miror linkove?
anonymus surfing ?
ako ima stvarno kreativnog korisnika ugasio si kao admin :)

proxy, l7 filter... milion nacina...


Pa vec sam rekao:



A ako to izostane, mojih 190 cm visine i 100 kg tezine cesto ima sasvim odgovarajuci efekat.

I nisam administrator, smor je to veliki... samo se sluzim alatom da postignem odredjene efekte.

``A ako to izostane, mojih 190 cm visine i 100 kg tezine cesto ima sasvim odgovarajuci efekat.``

bwahahahah ... da nisi ti iz bosne ;) .. bwahahahah

Kakve to veze ima sa tim gdje zivim sa rjesavanjem problema u mikrotiku?

yolja624, poslodavac koji mora da zabranjuje internet zaposlenima ima ozbiljan problem u organizaciji sopstvene firme. Internet je njemu najmanji problem.

Hey hey :)
ostavim vas na dan i vi napravite dzumbus ;)
Ma menjao interfejse, to mi je prvo palo na pamet i queue nije hteo da slusa uopste, ko zna sta sam radio :)

@nemesis
nema tamo toliko kreativnih korisinika :)

@pedja
kako mislis da ima ozbiljan problem u organizaciji sopstvene firme? ja mislim da na poslu ne treba imati mesta za facebook twitter, youtube, jer to debelo odvlaci paznju jednom prosecnom korisniku i drasticno umanjuje produktivnost.

Prosto, ako radnik ceo dan visi na Fejsbuku, nije problem u Internetu i Fejsbuku. Zabranis li mu to, naci ce on neki drugi nacin da bleji.

Kada radim kontrolu koriscenja inteneta uvek se to svodi na obezbedjivanje da link radi kako treba i da bude iskoriscen funkcionalno. To znaci da bitan saobracaj ima prioritet a nebitan ne. Zabranu saobracaja vrsim samo ako on ugrozava link i pristup Internetu.

Ovo je dokazano da nije tachno.

Chest sluchaj koji sam iskusio je da kad neshto zabranish, radnici provedu mnogo vishe vremena u traganju za zaobilazhenjem zashtite, nego shto bi ga troshilli na samom sajtu. Jedini vid "zabrane" koji ima efekta je da, kao poslodavac, ili ovlashtjeno lice, napravish odluku da se ne sme to i to i tu odluku dostavish radnicima. Ukoliko to neko ne poshtuje, reshenje se zna.

Kako facebook iskace iz WC solje, ne bi me cudilo da uskoro postane deo 'osnovnih ljudskih prava' zajedno sa twitter-om, pa ce ga onda zakon stititi :)

Realno, strasno je sve to... sta god da pogledas, procitas, slusas radio, svi pricaju o 'njihovim facebook stranama, kacenju na zidu i lajkovanju'...

Tacno je to da ako radniku nesto zabranis, on ce potrositi mnogo vise vremena trazeci nacin da zaobidje zastitu ali odluku o tome sta se sme, a sta ne, treba da donese direktor ili upravni odbor, kao i kaznu u slucaju krsenja iste i to je to, sve transparetno.

ima sa stavom da time sto imash visinu/tezinu mozesh da reshish problem
IT prirode ...

@pedja
Odosmo u offtopic ali tvoja tvrdnja kaze da konkretno US Steel nije u pravu što je u fabrici zabranio facebook, twitter myspace i ostalo?
Moja teorija je da tome nema mesta na poslu, zabrana nikad nije na odmet, a sankcionisanje radnika koji su uporni i pored zabrana je obavezno.

da li ce neko da zabrani neki sadrzaj ili nece to ej do interne odluke firme
da li su u pravu ili nisu je isto diskutabilno ... lichno smatram da nije dobro
zabraniti potpuno ... jer alternativni nachini komunikacije izmedju ljudi
kao sto su msn/skype ili cak i preko facebooka mogu da smanje troskove
telefona koji bi zaposleni pravili ...
zavisi naravno od radno mesta ali svima pogasiti po firmi .. pa onda mu
i ne treba internet ako tako gledash ... :)
onda najbolje da stavish ometache iza mobilnu telefoniju jer realno sta
ce mu mobilni telefon na poslu .. ometa ga ...
sve vam je to broker fino objasnio u prvoj poruci ...