Как заблокировать социальные сети и сайты с помощью Mikrotik

Так или иначе рано или поздно у руководства любой компании появляется идея «А не заблокировать ли нам социальные сети. А то сотрудники не работают, а только в интернете ерундой занимаются». Вот и приходит команда админу «ЗАБЛОКИРОВАТЬ». И хорошо если в компании имеется мощный прокси-сервер который умеет разбирать шифрованный SSL трафик и влет блокировать все что админу угодно. Но игрушки такие стоят дорого, да и квалификация должна быть соответствующая. А в обычной рядовой фирме, хорошо если у админа есть хороший маршрутизатор. Собственно говоря в этой статье я и расскажу, как за пару минут с помощью Mikrotik и ровных рук можно решить поставленную задачу. Добро пожаловать под кат.

«Да я тебя по IP вычислю и забаню!»

Многие, кто в теме, помнят древнюю угрозу, которая озвучивалась на заре интернета в нашей стране. Но если посмотреть, то с тех самых времен мало что поменяловь. И как оговорится все гениальное просто. Давайте рассмотрим варианты, как можно решить поставленную руководством задачу без дополнительного финансирования:

  1. Прокси сервер — дешевые и бесплатные аналоги не умеют разбирать SSL трафик, а все современные социальные сети уже давно перешли на HTTPS. Дорогие варианты, которые умеют разбирать HTTPS и SSL на никто не купит. Так что для нас это не вариант
  2. Заглушка в DNS — Интересный андеграудный вариант. Создать левые зоны для каждой социальной сети и возвращать IP-адрес, например 127.0.0.1. Идея прикольная, вот только одна проблема — далеко не всем нужно банить социалки. В итоге это абсолютно не гибкий инструмент, который нам не подходит.
  3. Бан по IP. При всей своей простоте, в нашем случае это самый простой и гибкий инструмент. Почему? Все просто. Можно создать списки адресов и создать правила согласно которым кого-то пускать по указанным адресам а кого-то нет. Этот способ плохо подходит для блокировки отдельных мелких сайтов, поскольку блокирует не только ресурсы которые нам нужны, но и все остальные что живут на том же сервере. В итоге, для мелочи этот способ не годится, а вот для крупных гигантов, коими и являются социальные сети это то что нужно

Общий принцип действия

И так, со способами мы разобрались и определили наиболее для нас удобный. Теперь попробую описать что нам нужно.

  1. Определяемся с ресурсом который мы хотим заблокировать. Пускай это будет ну скажем тот же twitter. 
  2. Идем по ссылке https://bgp.he.net/  и в строке поиска вбиваем название ресурса. В нашем случае это twitter.
  3. Ждем пока отработает поиск. Вуаля! у нас в руках список всех адресов и подсетей, которые использует twitter.
  4. Теперь любым удобным способом на маршрутизаторе создаем список IP адресов с удобным названием, например TWITTER-IPs
  5. Любым удобным способом на маршрутизаторе создаем список IP адресов компьютеров, которым можно посещать данный ресурс, назовем его TWITTER-USERS_PC
  6. Создаем правило в Firewall согласно которому разрешаем доступ компьютерам из списка TWITTER-USERS_PC к адресам из списка TWITTER-IPs
  7. Создаем правило в Firewall согласно которому запрещаем доступ к адресам из списка TWITTER-IPs

Все. Теперь только определенные пользователи могут посещать TWITTER. Точнее на ресурс можно попасть только с определенных ПК. С остальных ПК ресурс работать не будет. Вообще. Маршрутизатор будет полностью блокировать трафик на TWITTER и будет абсолютно все равно по какому протоколу, зашифрован там он или нет.

Вот как-то так.

От теории к практике

Вот вы сейчас прочитали то что я написал и задаетесь вопросом. Как это все настроить? Да легко. Давайте я вам все это дело покажу. Опустим посещение сайта и получение списка адресов. рассмотрим блокировку на примере подсети 104.244.42.0/24 которая принадлежит твиттеру.

  1. Открываем Winbox и подключаемся к нужному маршрутизатору. 
  2. Переходим в раздел IP подраздел FIREWALL и выбираем вкладку ADDRESS LISTS
  3. Создаем новый список адресов:
  4. В после NAME вбиваем имя списка которое нравится вам. Внимание! поле имя не уникально и если вам в один список нужно добавить несколько адресов или подсетей, то нужно создать несколько списков с одинаковыми именами 
  5. А поле ADDRESS вписываем IP адрес или подсеть. В моем случае это подсеть.
  6. И так повторяем столько раз сколько адресов или подсетей мы хотим объединить в один список
  7. Теперь создадим список TWITTER-USERS_PC. делаем все точно так же как в пунктах 3-6 за исключением того, что список у нас будет называться TWITTER-USERS_PC а в поле ADDRESS нужно вписывать IP адреса компьютеров и подсетей, которым мы хотим разрешить доступ к твиттеру.
  8. В итоге получается как-то вот так:
  9. Переходим на вкладку FILTER RULES
  10. Нажимаем кнопку ADD и создаем новое правило
  11. На вкладке GENERAL ничего не меняем только выбираем CHAIN типа FORWARD
  12. Переходим на вкладку ADWANCED.  В поле Src. Address List выбираем список TWITTER-USERS_PC. В поле Dst. Address List выбираем список TWITTER-IPs
  13. Переходим на вкладку Action.  В поле Action выбираем пункт accept
  14. Сохраняем наше правило кнопкой ОК. При необходимости добавляем комментарий. Все правило, которое разрешает с определенных ПК ходить на twitter готов. теперь переходим к созданию правила, которое всем остальным запретит доступ к этому ресурсу.
  15. Нажимаем кнопку ADD и создаем новое правило
  16. На вкладке GENERAL ничего не меняем только выбираем CHAIN типа FORWARD
  17. Переходим на вкладку ADWANCED.  Поле Src. Address List  оставляем пустым. В поле Dst. Address List выбираем список TWITTER-IPs
  18. Переходим на вкладку Action.  В поле Action выбираем пункт accept
  19. Сохраняем наше правило кнопкой ОК. Все запрещающее правило готово. 

Для того чтобы эта связка правил работала ее нужно перетащить повыше в списке правил Filter Rules.

Ну вот и все. теперь вы знаете как осуществить блокировку не только по определенному адресу, но и по определенной подсети или по нескольким подсетям.

Надеюсь информация была для Вас полезна. в скором времени я планирую выложить скрипты для автоматического создания списков адресов для разных ресурсов. Следите за новыми статьями.

 

Оставить комментарий

 
Поделись с друзьями!
Открыть с мобильного телефона
qr code
Считайте QR-код при помощи камеры мобильного телефона или планшета и откройте страницу на своем устройстве
iOnline в социальных сетях
Мы в Twitter


iOnline.by в социальной сети Вконтакте (vk.com)