Treba da nađeš L7 regexp za rtmp, rtsp i http-video (port 80)... možda čak i na portu 443 zbog YT...
pošto koristiš WinBox dodaš regexp u ip->firewall->layer7 protocols - daš mu neko ime
onda u ip->firewall->filter dodaš drop pravilo na odgovarajući interfejs sa tim l7 protokolom što si napravio... nisi napisao da li želiš da blokiraš video streaming u LAN-u ili sa WAN strane?
mada mislim da je najbolj način transparentni proxy to nije bilo pitanje... pitanje je bilo "Kako da blokiram video streaming na mikrotiku pomoću Layer7Protocols ?" :)

Pozdrav!

Hvala puno!

U zavisnosti od količine saobraćaja možeš imati problem sa performansama rutera kada radiš proveru po L7 pravilima pošto se ispituje svaki paket. Ni jedno rešenje za blokiranje sabraćaja sa MT nije idealno (DNS, IP, Proxy...).

zato je OpenDNS, što se mene tiče idealno rešenje za SOHO varijante... ne opterećuje ruter, a ne košta ništa...
jedino što meni nije uspelo da podesim na MT-u forsisranu DNS redirekciju na OpenDNS... da ne bi klijenti mogli da postavljaju svoje public dns servere i tako zaobiđu restrikcije...
probao sm ovo ali ne radi

Ako su uvijek "isti" racunari u mrezi, onda ide lijepo sa:
DHCP server, podesen na "static only" - sa ARP replay only na inteface... pa u DHCP podesis DNS koji zelis. I kad sve podesis kako treba, nema rucnog mjenjanja ip/dns na masini. Samo ono sto dobije podesavanja od DHCP moze proci kroz ruter

I trebace skripta da se autorizujes na OpenDNS
Pretpostavljam da o tome ima vise ovdje:
http://forum.mikrotik.com/viewtopic.php?t=77757

Pozdrav!

Hvala puno na odličnim odgovorima!!

Patak

Ovo uopste nije tacno odnosno ne resava problem. DHCP ne moze da se koristi kao security mehanizam za bilo sta niti je za to namenjen. Ovo sto je navedeno iznad ce samo naterati klijenta da zatrazi podesavanja od dhcp-a i da, ako hoce da komunicira sa defaul gateway-om, mora da koristi tu adresu. Sve ostalo moze a ne mora da bude.

Dovoljno je da se klijentu kaze da uzima adresu od dhcp-a ali da uvek koristi staticke zapise za dns. Na taj nacin je ispunio uslov da je uzeo adresu koja je dodata u arp default gateway-a ali i dalje moze da koristi dns koji god zeli.

Potrebno je na firewall-u jednostavno onemoguciti forward na portovima tcp/udp 53.

U vecini slucajeva dovoljno! Vecina korisnika nece drndati DNS u podesavanju kartice. Naravno da nije namjenjen kao security, ali moze da odradi posao.
Naravno, samim blokiranjem porta 53 dobijas "dodatno" vezivanje podesavanja DNS na sam ruter i ono sto mu DHCP daje.

Ni jedno rjesenje nije bez mane pa ni ovo. I sad daj ti rjesenje problema a ja cu probati da ga zaobidjem.

_{[Ovu poruku je menjao yolja624 dana 29.03.2015. u 16:16 GMT+1]}

kod iptables i na linuxu se radi sa sledećom komandom...



u PREROUTING chain-u, dakle pre nego paketi dođu ruteru na odlučivanje, na interfejsu br1 (bridž na kome je VAP za goste) koji imaju tcp i udp port 53 kao odredište,
se presreću i radi "destination nat" na DNS server OpenDNS-a...
klijent može menjati na kartici šta hoće, ali mu ne prolazi jer ruter pre rutiranja usmeri pakete na OpenDNS...

e, sad... meni ovo na RoS-u nije uspelo jer on koristi ipchains i ne znam kako da promenim ovu iptables komandu... iz Webif-a takođe ne mogu jer nema PREROUTING chaina u
Firewall-Filter rules-Add new...
u NAT ima dnat ali ne i PREROUTING...

naravno ovo je moguće zaobići direktnim kucanjem IP adrese ali sumnjam da će neko znati baš sve IP adrese svih servera... tako da i dalje mislim da je ovo dobro rešenje...
samo neko ko se razume u ipchains treba da smisli kako da firewall presreće DNS zahteve...

ali postoji dst nat akcija

dok se neko ne sjeti nekog VPN a onda "zbogom oruzje" :D

pa dobro slažem se... uglavnom se slažem... moguće je i ovo zaobići koristeći Proxy DNS i slušanjem na nestandardnom portu (koji nije 53)...
ali, ja sam rekao da za SOHO varijante... postoje regexp-i i za VPN... pa onda blokiranja VPN passthrough... pa možeš i na OpenDNS dodati 20-ak custom domain-a za blokiranje... itd, itd...

idealnog rešenja nema jer ko je odlučio da probije zaštitu, probiće je...

Bas tako :D

Pa eto, dadoh predlog :)

Omogucis input/output tcp/udp 53 a onemogucis forward tcp/udp 53. E sad, daj ideju kako da se prodje a da nije vpn?

Pozdrav!

Hvala Vam puno!!

Pa ja vec dadoh - vpn :D
Nebitno, skontali smo sta pricamo.