|
Товари
|
|
|
|
|
Виробники
|
|||||||||||
|
|
Новини
|
||||||||||||||
|
|
Статті
|
||||||||||||||
|
Настройка родительского контроля на роутере MikroTik
В этой статье мы расскажем, как с помощью роутера MikroTik закрыть детям доступ к порно сайтам, а также научим включать / отключать интернет по расписанию.
Содержание:
- Блокировка порно сайтов с помощью DNS серверов
- Проверяем блокировку порно сайтов
- Защита от альтернативных DNS серверов
- Отключаем блокировку сайтов для родителей
- Добавление собственных запрещенных сайтов
- Включение и отключение интернета по времени
Блокировка порно сайтов с помощью DNS серверов
Чтобы закрыть доступ к порно сайтам проще всего использовать сторонние DNS серверы, которые самостоятельно мониторят сайты для взрослых и обновляют их базу.
Мы приведем пример с серверами Norton DNS.
Сервера с блокировкой вредоносных сайтов:
DNS1: 198.153.192.40
DNS2: 198.153.194.40
Сервера с блокировкой вредоносных сайтов и порно сайтов:
DNS1: 198.153.192.50
DNS2: 198.153.194.50
Сервера с блокировкой вредоносных сайтов, порно сайтов и файлообменников:
DNS1: 198.153.192.60
DNS2: 198.153.194.60
Нам подходит сервер с блокировкой вредоносных сайтов и порно сайтов, например, 198.153.192.50. Настроим роутер MikroTik на его использование:
- Откройте меню IP - DNS
- В поле Servers добавьте адрес 198.153.192.50
- Нажмите кнопку OK.
Проверяем блокировку порно сайтов
Чтобы проверить блокировку на компьютере с ОС Windows, сначала очистите кэш DNS. Для этого выполните следующее:
- Нажмите комбинацию клавиш Windows + R, наберите cmd и намжите OK, чтобы запустить терминал.
- Также это можно сделать через меню Пуск - Найти программы файлы.
- В терминале выполните команду ipconfig /flushdns и нажмите Enter.
В конце выключите и включите сетевой интерфейс на компьютере, чтобы он получил новый адрес DNS сервера. Или можете просто перезагрузить компьютер.
Теперь в браузере наберите в поиске "порно" и попробуйте перейти по нескольким ссылкам. При переходе вы получите окно блокировки. Значит все работает.
Данный способ позволяет заблокировать большинство сайтов для взрослых, но не абсолютно все. Каждый день открывается огромное количество новых порно сайтов, и сотрудникам DNS сервисов нужно время, чтобы их найти и добавить в базу.
Защита от альтернативных DNS серверов
В настройках сетевой карты можно указать вручную альтернативный DNS сервер. Тогда запросы будут идти мимо необходимого нам DNS сервера, и блокировка работать не будет. Поэтому все DNS запросы необходимо завернуть на наш роутер. Для этого откройте меню New Terminal и выполните следующие команды:
add chain=dstnat protocol=udp dst-port=53 action=redirect
add chain=dstnat protocol=tcp dst-port=53 action=redirect
Далее перейдите в меню IP - Firewall и на вкладке NAT переместите созданные правила вверх. Теперь все DNS запросы будут идти через наш роутер.
Отключаем блокировку сайтов для родителей
Однажды у меня был телефонный разговор с клиентом:
- "Здравствуйте, вы можете настроить блокировку порно сайтов на роутере MikroTik?"
- "Да, могу".
- "А блокировать порно будет всем пользователям?"
- "Да, всем".
- "Тогда не нужно".
Я учел пожелания таких клиентов, поэтому ниже пойдет речь о том, как сделать, чтобы у родителей был доступ к порно сайтам, а у детей - нет. Обязательное условие - у детей и родителей должны быть разные компьютеры или смартфоны.
Сначала нужно привязать MAC адреса всех домашних устройств к IP адресам. Для этого подключите все необходимые устройства к роутеру. Далее откройте меню IP - DHCP Server, перейдите на вкладку Leases, кликните правой кнопкой мыши на каждом устройстве и выберите Make Static.
Теперь составим два списка с IP-адресами:
- Parents-List - список IP-адресов устройств родителей
- Kids-List - список IP-адресов устройств детей
Списки добавляются в меню IP - Firewall - Address Lists. Проще всего это сделать командами ниже. Не забудьте поменять IP адреса на соответствующие вашим устройствам.
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251
Далее создадим правила, по которым устройства из родительского списка Parents-List будут использовать DNS сервер без блокировки Google 8.8.8.8, а устройства из детского списка будут использовать сервер Norton DNS 198.153.192.50 с блокировкой вредоносных и порно сайтов.
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=198.153.192.50
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=198.153.192.50
Перейдите в меню IP - Firewall и на вкладке NAT переместите созданные правила в самый вверх.
После этого переподключите устройства к роутеру MikroTik и проверяйте работу.
Добавление собственных запрещенных сайтов
Если вы желаете добавлять свои запрещенные сайты, то рекомендую использовать сервис OpenDNS. Он позволяет настроить категории сайтов, которые нужно блокировать, а также добавлять свои запрещенные и разрешенные сайты.
Перейдите на сайт https://signup.opendns.com/homefree/ и зарегистрируйте новый бесплатный аккаунт.
В следующем окне появятся адреса DNS серверов 208.67.222.222 и 208.67.220.220, которые нужно будет указать в настройках роутера.
Далее откройте свой email, подтвердите регистрацию и залогинтесь на сайте.
Перейдите в "Dashboard - Settings". Здесь автоматически определится ваш IP адрес. Нажмите кнопку "ADD THIS NETWORK".
В появившемся окне укажите название сети, и поставьте галочку "Yes, it is dynamic", если роутер получает IP адрес от провайдера динамически (автоматически) по DHCP.
Далее кликните на IP-адрес созданной сети, чтобы открыть настройки.
Выберите режим "Custom". Укажите галочками сайты из каких категорий должны блокироваться, и нажмите кнопку "Apply".
Ниже в "Manage Individual Domain" можно добавить свои сайты, которые нужно блокировать (Always block), или добавить в исключения и не блокировать (Never block).
Теперь осталось в роутере MikroTik указать адреса OpenDNS серверов 208.67.222.222 или 208.67.220.220.
- Откройте меню IP - DNS
- В поле Servers добавьте адрес 208.67.222.222
- Нажмите кнопку OK.
На компьютере очищаем кэш DNS, отключаем и включаем сетевое подключение. Далее пробуем открыть порно сайт и получаем окно блокировки. Все работает.
Включение и отключение интернета по времени
Родители часто жалуются, что их дети по ночам сидят в интернете, хотя должны спать. Также кто-то хочет, чтобы ребенок после прихода со школы, сначала выучил уроки, а не сидел в интернете.
В качестве примера рассмотрим следующую задачу: наш ребенок приходит со школы в 15:00. Мы хотим, чтобы он до 17:00 выучил уроки. В это время интернет должен быть отключен. В 17:00 включаем интернет. В 22:00 выключаем интернет, когда нужно идти спать. С утра тоже включим интернет с 6:00 до 9:00. Данные правила должны работать только в будние дни. На выходных доступ к интернету должен быть круглосуточно.
Итого:
- 6:00 - включаем интернет
- 9:00 - выключаем интернет
- 17:00 - включаем интернет
- 22:00 - выключаем интернет
Для реализации задуманного нам потребуется использовать в роутере MikroTik скрипт и планировщик.
Сначала нужно привязать MAC адреса всех домашних устройств к IP адресам, и составить два списка с IP-адресами родительских устройств и устройств детей. Если вы это уже делали выше, то пропустите этот шаг.
Чтобы привязать MAC адреса, подключите все необходимые устройства к роутеру. Откройте меню IP - DHCP Server, перейдите на вкладку Leases, кликните правой кнопкой мыши на каждом устройстве и выберите Make Static.
Теперь составим два списка с IP-адресами:
- Parents-List - список IP-адресов устройств родителей
- Kids-List - список IP-адресов устройств детей
Списки добавляются в меню IP - Firewall на вкладке Address Lists. Проще всего это сделать командами ниже. Не забудьте поменять IP адреса на соответствующие вашим устройствам.
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251
Добавляем правила NAT для разрешения доступа к интернету каждому списку IP адресов.
/ip firewall nat add chain=srcnat out-interface=ether1 src-address-list=Kids-List action=masquerade comment=Internet-For-Kids
Старое правило NAT можно деактивировать, чтобы если к сети подключится незнакомое устройство, то у него не было интернета. Но если придут гости, включите его, чтобы у них появился интернет.
- Откройте меню IP - Firewall и перейдите на вкладку NAT.
- Нажмите левой кнопкой мыши на правило с комментарием "defconf: masquerade" и перетащите ниже созданных правил.
- Нажмите "красный крестик", чтобы деактивировать правило.
Проверьте, что на роутере правильно установлена дата и время в меню System - Clock.
Ниже указан скрипт включения / отключения интернета по расписанию. Отредактируйте в нем время, необходимое вам. Если вы использовали другой текст комментариев в правилах NAT, то измените параметр NatComment.
####################################
## Script to On / Off internet access for kids
####################################
:log warning "KidsInternetOnOff Script started.";
################################
## Set the internet ON and OFF times here
:local InternetOnTime "6:00";
:local InternetOffTime "9:00";
:local InternetOnTime2 "17:00";
:local InternetOffTime2 "22:00";
:local NatComment "Internet-For-Kids";
##
#################################
#################################
## Get Current Day Of Week
:local date [/system clock get date]
# Math Calculation here
:local result ""
:local months [:toarray "jan,feb,mar,apr,may,jun,jul,aug,sep,oct,nov,dec"]
:local daytbl [:toarray "sun,mon,tue,wed,thu,fri,sat"]
:local month [:pick $date 0 3]
:local day [:pick $date 4 6]
:local dayc [:pick $date 5 6]
:local year [:pick $date 7 11]
# if the first char is a 0 (zero) only read last char, else script fails
:if ([:pick $date 4 5] = 0) do={ :set day ($dayc)}
:local sum 0
:local aaa 0
:local yyy 0
:local mmm 0
:local nmonth 1
:for mindex from=0 to=[:len $months] do={
:if ([:pick $months $mindex] = $month) do={:set nmonth ($mindex + 1) }
}
:set aaa ((14 - $nmonth) / 12)
:set yyy ($year - $aaa)
:set mmm ($nmonth + 12 * $aaa - 2)
:set sum (7000 + $day + $yyy + ($yyy / 4) - ($yyy / 100) + ($yyy / 400) + ((31 * $mmm) / 12))
:set sum ($sum - (($sum / 7) * 7))
:set result [:pick $daytbl $sum]
:log info "Today is $result."
##
##################################
##################################
## Get Current Time and NAT Status
:local CurrentTime [/system clock get time];
## Setup log prefix
:local LogPrefix "KidsInternet $CurrentTime";
## Check current ON or OFF status of Kids NAT#
:local InternetDisabled [/ip firewall nat get [find comment=$NatComment] disabled];
:log info "$LogPrefix Disabled = $InternetDisabled";
##
##################################
##################################
## Check Time If It Is Workday
:local workday [:toarray "mon,tue,wed,thu,fri"]
:if ($workday ~ $result) do={
:log info "Today is Workday.";
## Where the ON time is set earlier than the OFF time #
:if (($InternetOnTime < $InternetOffTime) || ($InternetOnTime2 < $InternetOffTime2)) do {
## Internet should be ON between these times #
:if ((($CurrentTime > $InternetOnTime) and ($CurrentTime < $InternetOffTime)) || (($CurrentTime > $InternetOnTime2) and ($CurrentTime < $InternetOffTime2))) do {
if ($InternetDisabled=true) do {
:log warning "$LogPrefix was OFF, now switching ON.";
/ip firewall nat enable [find comment=$NatComment];
}
} else {
if ($InternetDisabled=false) do {
:log warning "$LogPrefix was ON, now switching OFF.";
/ip firewall nat disable [find comment=$NatComment];
}
}
}
##################################
## Kids Internet ON If It Is NOT Workday
} else={
:log info "Today is NOT Workday."
if ($InternetDisabled=true) do {
:log warning "$LogPrefix was OFF, now switching ON.";
/ip firewall nat enable [find comment=$NatComment];
}
}
##
##################################
:log warning "KidsInternetOnOff Script completed.";
Добавим скрипт в MikroTik.
- Откройте меню System - Scripts.
- На вкладке Scripts нажмите "синий плюсик".
- В поле Name укажите название скрипта KidsInternetOnOff.
- Ниже в поле Source вставьте текст скрипта.
- Нажмите кнопку OK.
Проверим работу скрипта.
- Откройте меню IP - Firewall и перейтите на вкладку NAT, чтобы отслеживать активацию/деактивацию правила NAT с комментарием "Internet-For-Kids".
- Откройте меню Log, чтобы отслеживать выполнение скрипта.
- В меню System - Scripts выберите добавленный скрипт и нажмите кнопку Run Script.
После этого вы увидите в логах процесс выполнения скрипта и сможете отслеживать активацию/деактивацию правила NAT.
Теперь добавим в планировщик выполнение данного скрипта каждую минуту.
- Откройте меню System - Sheduler.
- Нажмите "синий плюсик", чтобы добавить задание.
- В поле Name укажите название KidsInternetOnOff.
- В поле Start Time укажите время 00:00:00
- В поле Interval укажите 00:01:00.
- В поле On Event укажите команду /system script run KidsInternetOnOff, которая будет запускать скрипт с названием KidsInternetOnOff.
- Нажмите кнопку OK.
После этого в меню Log вы увидите, как каждую минуту выполняется скрипт.
Если вы не хотите, чтобы информационные сообщения выводились в лог и забивали его, откройте текст скрипта и поставьте символ решетки # перед командами, которые начинаются на ":log". Оставьте не закомментированными строки :log warning "$LogPrefix was OFF, now switching ON."; и :log warning "$LogPrefix was ON, now switching OFF."; , чтобы отслеживать время включения / отключения интернета.
- Звичайна форма
Відгуки про статтю
Провайдер выдаёт статику.
Большое спасибо, очень хорошая и нужная статья! Но подскажите пожалуйста, что нужно изменить в скрипте KidsInternetOnOff для ежедневного его запуска, то есть для того чтобы он выполнял выключение и включение во все дни недели без исключения.
Заранее благодарю
Спасибо за статью. Все работает.
Подскажите, если в броузере включается VPN сервис. Как в данном случае быть?
Поскольку все настроенные правила DNS фильтрации попросту не "видят" запрещенного трафика(((
Еще нужно с их сайта скачать и установить на компьютер программу IP Updater, которая будет обновлять IP адрес.
https://support.opendns.com/hc/en-us/articles/227987847-Mikrotik-WinBox-Dynamic-Update-Sc ript
или через proxy http://podarok66.livejournal.com/2357.html
Но это будет работать только для http трафика. Проблема в том, что сейчас много сайтов шифруют трафик по https, поэтому для них это работать не будет.
Нужно еще на компьютере запрещать запуск всех программ, кроме разрешенных. http://profhelp.com.ua/articles/windows-7-как-запретить-запуск-программ
Интервал сделан в 1 минуту, чтобы можно было ставить время с точностью до минуты.
В принципе можно запускать скрипт каждый час, если вы включаете / выключаете интернет ровно в какие-то часы. Но тогда можно попасть в следующую ситуацию. Допустим интернет должен включиться в 17:00. В 16:45 выключается электричество. В 17:00 электричества нет, поэтому интернет не включился. В 17:10 электричество включили, но скрипт не выполнится, поскольку он должен выполнятся по расписанию каждый час. Следовательно, вы будете сидеть 50 минут без интернета, пока не наступит следующий час. Тогда нужно добавить еще одну задачу в планировщик, чтобы он выполнял скрипт при загрузке роутера.