[ backo_el @ 07.07.2013. 09:44 ] @
Pozdrav

kao sto vec u nazivu stoji ,potrebno mi je da blokiram jedan racunar u mrezi da ide na facebook.Sa layer 7 i firewall filterom sam uspeo da blokiram sve racunare u mrezi da idu na face,al meni je potrebno jedan ako je moguce sa mac addressom da ga blokiram.

Nisam nasao konkretno po forumima za to zato sam otvorio temu.

Unapred Hvala
[ dragansar @ 07.07.2013. 11:59 ] @
Podesis DHCP da ti za odredjenu MAC adresu daje isti IP i onda u firewall-u kazes da taj IP blokira sa ukljucenim layer 7 pravilom.
[ backo_el @ 07.07.2013. 12:36 ] @
Hvala puno,pozzz
[ Kolins Balaban @ 08.07.2013. 13:25 ] @
pa u firewall ima opcija src-mac-address koliko ja znam, na kartici advanced :) vjerovatno i na taj nacin moze markirati saobracaj kojem je sourc mac adresa ta kojoj zeli zabraniti fejs.
[ rajco @ 08.07.2013. 13:54 ] @
Treba obratiti pažnju ako je laptop pa ima dve mrežne kartice.
[ dragansar @ 08.07.2013. 16:27 ] @
Citat:
Kolins Balaban:
pa u firewall ima opcija src-mac-address koliko ja znam, na kartici advanced :) vjerovatno i na taj nacin moze markirati saobracaj kojem je sourc mac adresa ta kojoj zeli zabraniti fejs.

Sto jednostavno kad moze komplikovano ;)
[ backo_el @ 08.07.2013. 16:53 ] @
sad imam jos jedan problem

postavio sam da dhcp dodeli tom racunaru uvek istu IP,ali problem je sto neko ko se na racunaru malo bolje snalazi da manuelno upise neki drugi IP.

Da li se dhcp moze podesiti da radi samo navedenom adresom koja je uneta za tu karticu tj mac adresu kartice?
[ zivanicd @ 08.07.2013. 17:17 ] @
hm... ne znam koliko je pametno da layer7 filterise face... Zasto?!

Zato sto gomila sajtovai ma neki facebook addont tipa like, share i slicno i ako ga layer7 dropuje odrazice ti se u brzini ucitavanja stranice ili gresaka da se stranica nije ucitala do kraja ili da ima neucitane delove...

I ovde takodje nisi resio ako neko pristupa face-u preko https-a jer to l7 nece da ti resi.

Resenje:

Da li ti je i DNS na istom mikrotiku ???

Najlakse je da stavis u DNS server staticku jednu od adresa za www.facebook.com i onda kome vec zelis zabranis saobracaj ka toj ip adresi.

To ti je buletpruf resenje... sve ostalo ima potencijalni bug.

Ako ti nije DNS na tom racunaru, uvek mozes da preusmeris DNS zahteve za zeljeni racunar na mikrotik pa opet tu da dodelis DNS rekord za face pa da ga koljes...

Mozda sam malo konfuzan ali i vrucina je danas...

Sve u svemu tvoj problem se da resiti lako.

Poz,
Dejan
[ rajco @ 08.07.2013. 17:42 ] @
Možeš li da pojasniš ovo rešenje jer ja nisam ukačio dobro. Koliko znam jedini način je dropovanje svih opsega koje fb koristi.
[ zivanicd @ 08.07.2013. 20:03 ] @
^

[admin@gw0] /ip dns> print
servers: 212.200.191.150,212.200.190.166
dynamic-servers:
allow-remote-requests: yes
max-udp-packet-size: 512
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 1310KiB

[admin@gw0] /ip dns static> print
Flags: D - dynamic, X - disabled, R - regexp
# NAME ADDRESS TTL
0 www.facebook.com 31.13.80.17 1d


I sad u IP firewall dropujes sav saobracaj ka 31.13...

Ako su ti korisnici podeseni da DNS dobijaju od Mikrotika, uvek ce za www.facebook.com da dobiju 31.13.80.17 :)

A ako nisu podeseni, uvek mozes da sav UDP saobracaj ka portu 53 (DNS) redirektujes u tvoj mikrotik na port 53 (preusmeris DNS tzv) .


Pozzz
[ rajco @ 08.07.2013. 20:09 ] @
Možda je danas od vremena, al ja i dalje ne vidim ovo kao rešenje :). Šta se dešava ako ne koriste dns uopšte za pristup fb?
[ zivanicd @ 08.07.2013. 20:46 ] @
E pa ako ne koriste DNS... onda zaista ne znam!

[ rajco @ 08.07.2013. 20:52 ] @
Ipak nije buletproof ;)
[ backo_el @ 08.07.2013. 21:02 ] @
meni je sa layer 7 blokirano na fej i na https
[ Aleksandar Đokić @ 08.07.2013. 21:15 ] @
Mozda neka skripta koja odradi nslookup za facebook.com i www.facebook.com i dropuje pakete koji imaju za dst-adress te adrese?

A sto se tice L7 ako se stavi za regexp ovako nesto:

Code:
^.+(facebook.com).*$


onda ne bi trebalo da dropuje sve sajtove.
[ zivanicd @ 08.07.2013. 22:05 ] @
Citat:
zivanicd:
E pa ako ne koriste DNS... onda zaista ne znam!




Ovo je bio sarkazam... Kako mogu da ne koriste DNS ?

[ rajco @ 08.07.2013. 22:17 ] @
Mislio sam da ne koriste taj rekord, odnosno ako imaju u kešu ili host fajlu rekord koji kaže da ide na drugu ip adresu. Možda sam nešto propustio, pogledaću sutra detaljnije pa ću testirati.
[ Aleksandar Đokić @ 09.07.2013. 07:06 ] @
Citat:
Kako mogu da ne koriste DNS ?


Pa mogu da koriste Google DNS ili OpenDNS ili nesto trece, ne moraju Tik-ov.
[ rajco @ 09.07.2013. 07:14 ] @
@Zivanicd Probao sam tvoje rešenje i meni samo radi kada pita Mikrotik za dns, ali pretpostavimo da nemam nikakva prava na računaru flušujem dns ili pustim da istekne rekord za fb koji mi ne odgovara, nakačim se na neki od wifi koji nije na mojoj mreži (može i 3g ako neko ima instaliran modem) pingujem fb ili ga posetim, ostaje mi rekord sa drugom ip adresom i kada se vratim na moju mrežu radi mi normalno. Da li grešim negde?
[ newtesla @ 09.07.2013. 07:44 ] @
^^Grešiš: kako tačno misliš da ti "ostane" drugi DNS kada prilikom dolaska na prvu mrežu se radi flush posle neuspelog renew?

...izvadiš SIM iz telefona dok je uključen - staviš drugu, a telefon zapamtio i prvi broj - pa zoveš sa oba

podesiš zapise facebook.com, *.facebook.com da idu na 127.0.0.1 - a na kompovima oduzmeš privilegiju ručnog upisivanja IP/DNS
====

Usput: beše podesiš ARP na reply-only za tu IP adresu - i onda mu džabe što upiše drugu IP - kad internet radi samo sa onom koju dobija od DHCP-a imaš uputstvo na wireless.uzice.net
[ rajco @ 09.07.2013. 07:52 ] @
Moj previd za keš jer sam zaboravio da obrišem zapise iz host fajla dok sam testirao, a kada se podaci popunjeni oni se i prikazuju kada uradim ipconfig /displaydns. Da li ti droupuje kada u brauzeru upišeš neku drugu IP adresu i pokušaš da otvoriš sajt? Imam još par stvari, ali neću stići da testiram danas sutra, ali kad završim javiću rezultate.

[Ovu poruku je menjao rajco dana 09.07.2013. u 09:16 GMT+1]
[ zivanicd @ 09.07.2013. 20:45 ] @
Citat:
Aleksandar Đokić:
Citat:
Kako mogu da ne koriste DNS ?


Pa mogu da koriste Google DNS ili OpenDNS ili nesto trece, ne moraju Tik-ov.


Za ovo je ona druga stavka u mom postu da moze da REDIREKTUJE SAV DNS saobracaj u SVOJ DNS...

Tada ne mora da brine koj je DNS stavio klijent jer ce opet sav DNS saobracaj (udp port 53) da se preusmeri u DNS na tiku...
[ Mile-Lile @ 09.07.2013. 20:55 ] @
Evo da podelim moja iskustva sa blokiranjem FB-a... Jeste da nema veze sa Mikrotikom ali bi bilo dobro da neko se razume u "ipchains scripting" proba da primeni ovo na MT-u. Meni, u iptables funkcioniše SAVRŠENO. Ono što sam uspeo da pronađem po internetu je da MT koristi kao firewall ipchains (koji je btw rewrite BSD-a) a linux posle kernela 2.4 prelazi na iptables (zbog brojnih prednosti od kojih je npr. podrška za brojne protokole a ne samo za tcp, udp, icmp)...

dakle, bokiranje vršim na OpenDNS\Web Content Filtering... a korisnika nateram da koristi OpenDNS sa pravilom u iptables:

#ovo je da ceo jedan interfejs nateram da koristi OpenDNS (br1 mi je bridge virtuelne wireless mreže - mreže za goste)
Code:
iptables -t nat -I PREROUTING -i br1 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -i br1 -p tcp --dport 53 -j DNAT --to 208.67.222.222


#isto je moguće samo za određenu IP:
Code:
iptables -t nat -I PREROUTING -s 192.168.x.y -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -s 192.168.x.y -p tcp --dport 53 -j DNAT --to 208.67.222.222


#ili određenu MAC adresu:
Code:
iptables -t nat -I PREROUTING -m mac --mac-source 00:0F:EA:91:04:07 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -m mac --mac-source 00:0F:EA:91:04:07 -p tcp --dport 53 -j DNAT --to 208.67.222.222


#ili određeni opseg adresa u subnetu:
Code:
iptables -t nat -I PREROUTING  -m iprange --src-range 192.168.1.10-192.168.1.13 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING  -m iprange --src-range 192.168.1.10-192.168.1.13 -p tcp --dport 53 -j DNAT --to 208.67.222.222


#ili ceo subnet:
Code:
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -s 192.168.1.0/24 -p tcp --dport 53 -j DNAT --to 208.67.222.222


Najbolje je u celoj priči što korisnik može da upiše šta god hoće u svojim "use the following DNS address" podešavanjima mrežne kartice, to mu neće funkcionisati jer će upit biti preusmeren još u PREROUTING lancu. Naravno u ipconfig /all korisnik neće videti adresu OpenDNSa (208.67.222.222) već adresu DNS-a kojeg ostali koriste;)
Pošto mi je virtuelna mreža skroz otvorena pa se kače komšije ja ovaj način koristim da blokiram ne FB već porno sajtove i još svašta nešto...
E, sad, problem je ko nema zakupljenu static IP... kako će OpenDNS znati da je adresa promenjena... U tu svrhu koristim na DDwrt-u DNS-O-MATIC i to radi kao po loju....

Ako može neko da napravi ovakvo pravilo u IPCHAINS siguran sam da bi funkcionisalo...

Možda ću se nalupati ali nešto kao:

Code:
/ip firewall nat add chain=prerouting \
    src-address=192.168.x.y protocol=tcp,udp dst-port=53 action=dnat to 208.67.222.222