Хотите, мы Вам перезвоним?
  • Киев: (044) 383-54-55
  • Днепр-вск: (056) 767-50-05
  • Харьков: (057) 764-02-54
  • Запорожье: (061) 707-78-07
Мобильные номера
 
Продукция
 
Производители
 
Новости
 
Статьи

Блокирование сайтов в роутере MikroTik

25.11.2013
  1. Блокирование сайтов с помощью статических DNS записей
  2. Блокирование сайтов с помощью Firewall
  3. Блокирование сайтов с помощью Proxy сервера

В этой инструкции вы узнаете, как заблокировать любой сайт в роутере MikroTik, социальную сеть одноклассники, вконтакте и т.п.

 

Блокирование сайтов с помощью статических DNS записей

Заблокировать доступ к сайту можно, создав статическую DNS запись с названием сайта и несуществующим IP адресом для него, например 127.0.0.1. Перед именем сайта бывает автоматически приписывается www, поэтому нужно создавать две записи, например odnoklassniki.ru и www.odnoklassniki.ru

 

Откройте меню NewTerminal и выполните следующие команды для блокировки одноклассников:

/ip dns static add name="odnoklassniki.ru" address=127.0.0.1
/ip dns static add name="www.odnoklassniki.ru" address=127.0.0.1

 

У пользователей заблокированные сайты еще будут открываться некоторое время, потому что на компьютерах есть DNS кэш, в котором временно хранятся имена посещенных сайтов и их IP адреса. Для очистки DNS кэша на компьютере нужно запустить командную строку cmd и ввести команду ipconfig /flushdns.

Такой способ блокирования сайтов будет работать только в том случае, если пользователь использует DNS сервер центрального роутера MikroTik. Если пользователь настроит вручную другой адрес DNS сервера, то ограничение работать не будет. Поэтому блокировку сайтов лучше делать с помощью Firewall.

 

Блокирование сайтов с помощью Firewall

Фаервол позволяет заблокировать сайт по его IP-адресу. Узнать IP-адрес сайта можно в Windows, набрав в консоли команду nslookup имя сайта, например nslookup vk.com.

nslookup vk.com

 

Чтобы выполнить команду nslookup в маршрутизаторе MikroTik, откройте меню New Terminal и выполните команду-аналог put [:resolve vk.com]

Аналог команды nslookup в роутере MikroTik

 

Сайты социальных сетей имеют много серверов с разными IP-адресами и вышеуказанные команды могут не показать адреса всех серверов. Поэтому лучше всего с помощью онлайн сервисов whois узнать, какие сети принадлежат данной социальной сети. Например, Vkontakte Ltd принадлежит сеть 87.240.128.0/18 и 93.186.224.0/22.

Whois информация о Vkontakte Ltd

 

В поиске IP-адресов также поможет сервис bgp.he.net

Сервис bgp.he.net

 

После того, как мы узнали нужные нам IP-адреса, выполните в терминале MikroTik следующие команды:

/ip firewall filter add chain=forward src-address-list=blockedsites action=drop comment="Blocked Sites" disabled=no

/ip firewall address-list add list=blockedsites address=87.240.143.244 disabled=no
/ip firewall address-list add list=blockedsites address=87.240.128.0/18 disabled=no
/ip firewall address-list add list=blockedsites address=93.186.224.0/22 disabled=no

 

Блокирование социальных сетей довольно трудоемкий процесс, поскольку социальные сети открывают дубликаты своих сайтов с другими именами и IP адресами серверов. Продвинутые пользователи обходят ограничения еще с помощью сайтов анонимайзеров. Поэтому блокируя доступ к социальным сетям, вам также придется выискивать сайты анонимайзеры и тоже их блокировать.

 

Блокирование сайтов с помощью Proxy-сервера

Закрыть доступ к сайтам можно также с использованием прозрачного proxy-сервера MikroTik.

Разрешим использование прокси-сервера и настроим его. Для этого откройте New Terminal и выполните следующие команды:

/ip proxy
set enabled=yes
set src-address=0.0.0.0
set port=8080
set parent-proxy=0.0.0.0
set parent-proxy-port=0
set cache-administrator="webmaster"
set max-cache-size=none
set cache-on-disk=no
set max-client-connections=600
set max-server-connections=600
set max-fresh-time=3d
set always-from-cache=no
set cache-hit-dscp=4
set serialize-connections=no

 

Делаем proxy-сервер прозрачным:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

 

Закрываем доступ к прокси-серверу со стороны интернета:

/ip firewall filter add chain=input in-interface= protocol=tcp dst-port=8080 action=drop

 

Вводим команду блокировки сайта:

/ip proxy access add dst-host=www.odnoklassniki.ru action=deny

 

Печатная версия Поделитесь статьёй:
  • Обычная форма
  • ВКонтакте
  • Facebook

Отзывы о статье

  Оценка: 4, Голосов: 12, Комментариев: 27

Добавить отзыв
Ваше Имя: *
Ваш e-mail:  

Отзыв: *
Оценка:  
Введите символы: *
Обновить
 
Sergey 13.11.2016 22:09:20
Разве в этой строке /ip firewall filter add chain=forward src-address-list=blockedsites action=drop comment="Blocked Sites" disabled=no не должно быть dst-address-list?
MM 08.09.2016 16:05:31
еще вариант блокировать https через firewall content
я так блокирую
Сергей 03.03.2016 11:11:46
А реально сделать так, чтоб блокировало всё кроме скайпа????
Алексей 18.01.2016 09:46:41
Сделал доступ только на сайты которые разрешены, с помошью Layer 7. А можно ли как то скриптом импортировать перечень разрешенных сайтов из текстового сайта (5000)? И может вместо Layer 7 просто фаерволл использовать?
Garry 07.12.2015 09:55:06
Доброго времени суток. Подскажите, как блокировать доступ допустим к тому же контакту или WOT отдельным пользовотелям ?
pochikau 15.11.2015 14:25:40
полезные статья.
у вас что то бодобное для блокировки team viwer есть?
Техподдержка 16.11.2015 09:40:32
Нет
Valentin 25.09.2015 11:34:14
Все ломятся через https:\\ при redirect с 443 на 8080 отваливаются все сайты работающие по этому протоколу или вообще не блокирует.
Виталий 25.10.2016 17:21:43
Подтверждаю, гугл поиск даже перестает работать
Азамат 18.08.2015 20:56:49
с https заходит, не помогают действия описанные в комментах, роем дальше(
гыук 21.08.2015 19:36:25
так порт 443 тоже закрой
Виталий 25.10.2016 17:22:48
перестает поиск в хроме работать, не зеспокоит?
Азамат 18.08.2015 20:38:19
Спасибо за статью, блокировка через прокси работает на все 100!
Алексей 18.01.2016 16:31:34
Как на все 100%? А как же https?
Страницы: 1, 2
Call-центр
  • +38 097 085-80-08
  • +38 099 238-88-98
  • +38 099 322-60-10
  • +38 063 563-33-93
  • График работы:
    Пн–Пт с 9 до 18
Магазины
  • Киев: +38 044 223-10-98
  • Харьков: +38 057 764-02-54
  • Днепр-ск: +38 056 767-50-05
  • Запорожье: +38 061 707-78-07
Наши партнеры
     
© 2003–2016 «Компания ТехноТрейд»
интернет-магазин сетевого оборудования
×
×
Валюта: