xapoh11 Feb 8 2017 at 12:23

Блокировка загрузки файлов по расширению. Mikrotik RouterOS

2 min

25K

System administration *Network technologies *

From sandbox

+13

Comments 28

ifaustrue Feb 8 2017 at 12:50

Какая нагрузка на память\CPU на вашем железе оказывают такие правила и на какой нагрузке на канал?

xapoh11 Feb 8 2017 at 13:35

+1-2% нагрузки на процессор. Память не ест.
Канал 25 мбит\с. До 100 пользователей, из них 15 в списке исключений.

UFO just landed and posted this here

xapoh11 Feb 8 2017 at 13:36

Объясните разницу с точки зрения пользователя? И в том и другом случае страница ожидает загрузки и вываливает ошибку через 20-30 секунд.

xapoh11 Feb 8 2017 at 13:53

Нашел разницу, спасибо за подсказку. И я был неточен, TCP reset — вываливает ошибку в браузере сразу.
DROP — пакеты уходят в «черную дыру», TCP Reset — ответ соединение сброшено.
Так как правило работает на входящие из локалки, то прятаться роутеру не от кого.

drsmoll Feb 8 2017 at 13:15

как дела с https?

xapoh11 Feb 8 2017 at 13:38

https обрабатывает. Заголовок с GET не шифруется.
проверял на: https://mp3-tut.net/

-1

iaon Feb 8 2017 at 16:13

Вот спецслужбы то обрадуются вашему открытию. Все шифруется на самом деле.
Этот кривой mp3-tut.net просто делает редирект на http.

xapoh11 Feb 8 2017 at 16:13

Есть варианты, где https не «кривой»? Прошу указать

drsmoll Feb 8 2017 at 16:47

Попробуйте с этой страницы: www.nasa.gov

iaon Feb 8 2017 at 16:59

А смысл? Не взлетит.
Все мы чего-то не знаем, но вы пишете про L7 фильтрацию, но не знаете базовых вещей про https…

Тут только установка своего сертификата на клиенты и прокся-перекодировщик вам помогут, типа казахский вариант.

drsmoll Feb 8 2017 at 17:28

абсолютно верно, этого я и спрашивал у автора ;-)

xapoh11 Feb 8 2017 at 17:35

Не доглядел. Буду смотреть дальше.
И судя по всему решения 100% только два: подмена сертификата HTTPS, на что сразу среагируют браузеры, или инвертировать список правил с список запретить, остальное разрешить на список разрешить, остальное запретить

drsmoll Feb 8 2017 at 18:12

при наличии MS-AD раздача сертификата не составит труда.

phnx Feb 8 2017 at 14:01

Кстати только таким способом полностью выпиливается торрент трафик, особенно DHT.

Примерный код

В Сети много вариантов, возможно есть намного свежее.

/ip firewall filter

add action=drop chain=forward comment="TORRENT No 1: Classic non security torrent" disabled=no p2p=all-p2p

add action=drop chain=forward comment="TORRENT No 2: block outgoing DHT" content=d1:ad2:id20: disabled=no dst-port=1025-65535 packet-size=95-190 protocol=udp

add action=drop chain=forward comment="TORRENT No 3: block outgoing TCP announce" content="info_hash=" disabled=no dst-port=2710,80 protocol=tcp

add action=drop chain=forward comment="TORRENT No 4: prohibits download .torrent files. " content="\r\nContent-Type: application/x-bittorrent" disabled=no protocol=tcp src-port=80

add action=drop chain=forward comment="TORRENT No 5: 6771 block Local Broadcast" content="\r\nInfohash:" disabled=no dst-port=6771 protocol=udp

xapoh11 Feb 8 2017 at 14:02

Не одобряю блокировку торрентов, лучше ограничить скорость канала на пользователя.

phnx Feb 8 2017 at 14:24

Политика ИБ компании диктует условия.

Пример — производственные предприятия. Там сам факт торрент-трафика из цехов уже должен насторожить сотрудника ИБ. Хотя обычно рубят вообще любой внесетевой трафик.

UFO just landed and posted this here

phnx Feb 8 2017 at 14:18

Могу ошибаться, но вроде заголовки не шифруются. По опыту, таким способом настраивал на предприятии блокировку (500+ пользователей) и за все время работы (около года) такой конфигурации торрент трафик «не протекал» ни разу.

Правда оговорюсь, правила сами писали и кроме всего написали специальные триггеры на количество одновременных соединений, для вылавливания особенно ушлых, но вроде ни одной сработки так и не было.

alexkuzko Feb 9 2017 at 13:56

Судя по коду, нет. Там вообще 443-й порт не проверяется. Да и как? Тут надо делать аналог ssl bumping (SSL-Bump) как в сквиде, чтобы как клиент подключиться, и увидеть куда запрос направлен (но не его содержание..).

Блокировки не одобряю, но сейчас приходится думать как на работе это реализовать. В первую очередь от забывчивых пользователей, которые не выключают торрент-клиенты…

garadash Feb 9 2017 at 10:10

Зачем с такими игрушками как Микротик возиться и время терять, где вы со своим RB3011UiAS забавляетесь? За 200 $ сейчас даже 38-я серия ISR покупается в хорошем состоянии, а уже не говорю про 28-ю, ставьте и кайфуйте.

-1

xapoh11 Feb 9 2017 at 10:16

У всех свои игрушки. А для Cisco порог вхождения выше. Да и цена вхождения.
А Вы сможете за ~2600р. найти оборудование, который даст потрогать ВСЕ функции, которые раскроются на железе за ~20 000 р?

Я не спорю Cisco — вещь. Но специалисты Cisco ценятся именно потому что они редки, а значит что-то ограничивает их «размножение».

garadash Feb 9 2017 at 11:33

Конечно, полно древнючих за копейки под лабы, из 26-й серии. Трогайте на здоровье любые функции IOS. Ну, и виртуальные конструкторы типа Cisco packet tracer, gns3 и т.п. никто не отменял, не совсем то, что работать с оборудованием, но все же, какой никакой практикум.

MeGaPk Feb 9 2017 at 12:38

лучше взять микротик, чем циско за 200$. В моей практике, микротик показал себя как «Просто работает без рестартов». Циско — всех офисом хотели сжечь.

phnx Feb 9 2017 at 12:31

У Микротика одно главное преимущество в своем сегменте — функционал. Нет аналогов за те деньги, за которые вы получаете абсолютно все необходимое из коробки для low\mid-range нагрузок.

Это я к тому, что сравнивать Циски, Джуниперы, Мотороллы с Микротиком неверно априори. Эти железки разного уровня и для разных потребителей.

xapoh11 Feb 9 2017 at 10:16

DEL

rgoldshteyn Feb 10 2017 at 17:10

А функционал L7 у микротика с какиой версии По начинается?

UFO just landed and posted this here

Only those users with full accounts are able to leave comments. Log in, please.