|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Mikrotik blokada stron (https) , DeK 26/10/20 19:15
W jaki sposób zablokować stronę/strony?
Powiedzmy że chciałbym zablokować wp.pl w jaki sposób to zrobić, bo kilka opisów jakie znalazłem kompletnie nie działają.
Łącznie zablokować chciałbym około 10-12 stron. Najlepiej gdyby dało się to zrobić bez proxy.- nie da się , Master/Pentium 26/10/20 19:57
HTTPS oznacza ruch szyfrowany a to oznacza że router nie jest w stanie filtrować ruchu bo nie wie co jest przesyłane.
Pozostaje proxy z certyfikatem pośrednim (to też powoduje pewne problemy).Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-) - Nie do końca , phyllo 26/10/20 21:25
w request które jeszcze nie jest szyfrowany powinien być FQDN - jeżeli firewall potrafi tam zaglądać i po tym filtrować (URL filter) to to ogarnie... ale chyba MT nie potrafi.
Więc tak jak Ranx napisał - najprościej DNS-a podstawić - chyba że blokowanie nie ma być globalne a wybiórczo per "klient"...- owszem ale to bez znaczenia , Master/Pentium 26/10/20 21:41
google jest po https i średnio tępa małpa wpadnie na pomysł wyszukania interesującej go strony (będąc już w SSL'u) i kliknięcia na link w wynikach. 10 letnie dziecko wpadło na ten pomysł po 15 minutach więc słabe zabezpieczenie.
Pomysł z DNS'em lepszy ale też do obejścia w kilka minut/godzin przez chętnego.Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-) - nie do końca... , phyllo 26/10/20 22:28
sesję po SSL miałeś z Google a nie ze stroną którą chcesz odwiedzić. Dla przykładu twojepc.pl. Po SSL wyszukujesz w Google, ale klikając linka nawiązujesz nowe połączenie/sesję z serwerem twojepc.pl i tu znów leci request jeszcze bez szyfrowania w którym widać FQDN.
W 99% znajdzie się sposób na obejście ale to zależy kto jest targetem dla takiej blokady - czy "księgowi", ludzie "z IT", dzieciaki w domu/szkole/kursie... i czy są pozbawienie smartfona na którym restrykcje na poziomie lokalnego routera/firewalla nie mają zastosowania. Trochę mało informacji od autora - gdyby było wiadomo z kim "walczy" to można sięgnąć po ciekawsze pomysły a te proste do ominięcia "olać".- w praktyce kliknięcie linka z google jest niefiltrowalne , Master/Pentium 27/10/20 08:06
testowane na kilku różnych routerach i Firefox jako przeglądarką. Nie testowałem tego snifferem ale w praktyce ruch jest cały czas najwyrażniej szyfrowany. Pewnie jakieś rozszerzenie HTTPS lub HTTP/2.Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-) - ... , pwil2 29/10/20 15:23
Wystarczy stronę przepuścić przez Google Translatora i masz ruch prosto z Google.5900X/64GB_ECC 5650G/128GB_ECC
5600H/64GB/RTX3060 12700/96GB D5
1350P/64GB_D5 30TB_SSD A7m3
- wpis w blackliście DNS , Ranx 26/10/20 21:20
nie wiem na ile MT ale powinno coś takiego być.o roztramtajdany charkopryszczańcu... - da się , myszon 26/10/20 21:55
o ile klient nie szyfruje DNSów.
Mój ISP nie dość że blokuje niektóre strony na swoich DNSach to jeszcze robi MITM aby blokować te strony na zewnętrznych DNSach. DNS over TLS załatwia sprawę.
- Co się nie da jak się da. , Pio321 26/10/20 21:25
Tyle ze trzeba to robić na warstwie 7. Odpowiedni wpis w IP/Layer 7 Protocols. Ja tak tnę FB i YT- i działa na linki? , Master/Pentium 26/10/20 21:38
wpisujesz facebook w google i klikasz na link też jest zablokowane?Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-) - tak bo blokujesz aplikacje. , Ranx 26/10/20 23:33
ale bez rozszycia ruchu HTTPS się nie obejdzie jak ma być porządnie.o roztramtajdany charkopryszczańcu... - to sprawdź we współczesnym Firefox , Master/Pentium 27/10/20 08:07
bo ostatnio to mi działało we wczesnych latach 200x. Później przestało na dobre.Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-) - nie wiem jak , Ranx 27/10/20 11:09
bo u mnie działa:)
Trochę tego nastawiałem i nikt nie ma obiekcji.
Fakt, że nie na mikrotikach:)
W domu mam openwrt z filtrowaniem reklam i części syfu właśnie po DNS i w domyślnych ustawieniach przeglądarek (zawsze aktualizowane) też blokuje.
Ja wiem, że dałbym radę domowe zabezpieczenia obejść za niewielkie pieniądze ale w firmie to kwestia czasu i bym zablokował cwaniaczka:)
Z filtrami w v7 nie puścisz ruchu innym portem i nietypową aplikacją.o roztramtajdany charkopryszczańcu... - ok, dobrze wiedzieć , Master/Pentium 27/10/20 13:11
jak będę miał kolejną taką potrzebę u kogoś to sprawdzę ponownie co i jak.
Ostatnio uzyskałem efekt taki:
- adres wpisany w pole adresowe -> strona nie działa (czyli OK).
- adres wyszukany w google i kliknięty - strona wchodzi, w logach filtrowania brak zdarzeń (czyli NIE OK).
Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-)
- Nie jestem biegły w Mikrotiku , DeK 27/10/20 01:43
czy możesz pokazać ustawienie? Testowałem poprzez wyrażenie regularne ^. + (Facebook.com). * $ wpisane w layer7 protocols i reguła w Filter Rules, ale nadal otwiera się bez problemu.
- Gotowa regexp na FB dla Layer 7 , Pio321 27/10/20 13:58
^..+\.(facebook.com|facebook.net|fbcdn.com|fbsbx.com|fbcdn.net|fb.com|tfbnw.net).*$
Później w filtrach na forward ustawiasz deny i pozamiatane
- filtrowanie adresów jest zawsze na warstwie 7 , Master/Pentium 27/10/20 08:08
więc słabe to odkrycie. Problem w tym że teraz nawet zapytanie z adresem strony potrafi być szyfrowane. Jakiej przeglądarki używasz?Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-)
- blokujesz klasy adresowe IP , Holyboy 27/10/20 10:01
zapytaj Googla "facebook ip class ranges" i po sprawie
Strength is irrelevant.
Resistance is futile.
We wish to improve ourselves. - pomyśl nad pihole , Ranx 27/10/20 11:10
https://pi-hole.net/o roztramtajdany charkopryszczańcu... - Sprawdź , Seba 27/10/20 12:36
/ip firewall filter chain=forward action=drop protocol=tcp dst-address-list=test dst-port=443 log=no log-prefix=""
dodaj address-list o nazwie test i do niego np www.wp.pl.
connection tracking - powinno być enabled lub auto- sprawdziłem działa , Seba 27/10/20 12:56
do address-list test możesz dodać kolejne blokowane strony - to samo z przekierowaniem , Seba 27/10/20 13:51
ip firewall nat chain=dstnat action=dst-nat to-addresses=5.134.213.82 to-ports=443 protocol=tcp dst-address-list=test dst-port=443 log=no log-prefix="" - to teraz spróbuj , bodeq 27/10/20 18:57
z youtube.com czy tam innym facebookiem i daj znać jak poszło :)- nie widzę problemu ... , Seba 27/10/20 19:14
12345
- jeśli masz słaby routerek ... , Seba 27/10/20 12:59
... działający na fastrack-ach to connection tracking może drastycznie zmniejszyć wydajność- Mam ten , DeK 27/10/20 17:22
https://mikrotik.com/product/hap_ac2- a w czym widzisz problem ? , Seba 27/10/20 19:09
jak zblokujesz porty na zewnętrzne dns i ustawisz lokalny. To ilość adresów ip nie ma znaczenia.- do bodeq , Seba 27/10/20 19:13
12345- mam dwie wiadomości , bodeq 27/10/20 23:36
dla Ciebie, pierwsza dobra to że ta metoda jest prosta i fajna, natomiast druga ta zła że niestety nie działa. Tzn działa na proste strony, działające na pojedynczym ip.
Natomiast youtube o ile na ie i edgu po wpisaniu adresu kółeczkuje w nieskończoność to już wejście przez google nie stanowi problemu. Na firefoxie i chromie działa od razu. Nie analizowałem tego, może ktoś mądrzejszy wyjaśni.- napisałem tobie wcześniej , Seba 27/10/20 23:53
jak zblokujesz porty na zewnętrzne dns i ustawisz lokalny. To ilość adresów ip strony nie ma znaczenia.- Round robin DNS , Seba 28/10/20 00:00
to wyjaśnienie- z pewnością nie , bodeq 28/10/20 18:04
mikrotik wyciąga wszystkie rekordy a dla domeny i je blokuje.
- być może niejasno się wyraziłem , bodeq 28/10/20 18:01
na przykładzie wp.pl gdzie strona główna to 212.77.98.9 a podstrony to inne ip więc blokując adres główny i tak możesz wejść w wiadomości czy pocztę.
- masz tabelkę w tym linku , Seba 27/10/20 19:12
12345
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
