Evo da podelim moja iskustva sa blokiranjem FB-a... Jeste da nema veze sa Mikrotikom ali bi bilo dobro da neko se razume u "ipchains scripting" proba da primeni ovo na MT-u. Meni, u iptables funkcioniše SAVRŠENO. Ono što sam uspeo da pronađem po internetu je da MT koristi kao firewall ipchains (koji je btw rewrite BSD-a) a linux posle kernela 2.4 prelazi na iptables (zbog brojnih prednosti od kojih je npr. podrška za brojne protokole a ne samo za tcp, udp, icmp)...
dakle, bokiranje vršim na OpenDNS\Web Content Filtering... a korisnika nateram da koristi OpenDNS sa pravilom u iptables:
#ovo je da ceo jedan interfejs nateram da koristi OpenDNS (br1 mi je bridge virtuelne wireless mreže - mreže za goste)
Code:
iptables -t nat -I PREROUTING -i br1 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -i br1 -p tcp --dport 53 -j DNAT --to 208.67.222.222
#isto je moguće samo za određenu IP:
Code:
iptables -t nat -I PREROUTING -s 192.168.x.y -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -s 192.168.x.y -p tcp --dport 53 -j DNAT --to 208.67.222.222
#ili određenu MAC adresu:
Code:
iptables -t nat -I PREROUTING -m mac --mac-source 00:0F:EA:91:04:07 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -m mac --mac-source 00:0F:EA:91:04:07 -p tcp --dport 53 -j DNAT --to 208.67.222.222
#ili određeni opseg adresa u subnetu:
Code:
iptables -t nat -I PREROUTING -m iprange --src-range 192.168.1.10-192.168.1.13 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -m iprange --src-range 192.168.1.10-192.168.1.13 -p tcp --dport 53 -j DNAT --to 208.67.222.222
#ili ceo subnet:
Code:
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -p tcp --dport 53 -j DNAT --to 208.67.222.222
Najbolje je u celoj priči što korisnik može da upiše šta god hoće u svojim "use the following DNS address" podešavanjima mrežne kartice, to mu neće funkcionisati jer će upit biti preusmeren još u PREROUTING lancu. Naravno u ipconfig /all korisnik neće videti adresu OpenDNSa (208.67.222.222) već adresu DNS-a kojeg ostali koriste;)
Pošto mi je virtuelna mreža skroz otvorena pa se kače komšije ja ovaj način koristim da blokiram ne FB već porno sajtove i još svašta nešto...
E, sad, problem je ko nema zakupljenu static IP... kako će OpenDNS znati da je adresa promenjena... U tu svrhu koristim na DDwrt-u DNS-O-MATIC i to radi kao po loju....
Ako može neko da napravi ovakvo pravilo u IPCHAINS siguran sam da bi funkcionisalo...
Možda ću se nalupati ali nešto kao:
Code:
/ip firewall nat add chain=prerouting \
src-address=192.168.x.y protocol=tcp,udp dst-port=53 action=dnat to 208.67.222.222