Comments 80
Кстати роутер замечательный. Пользуюсь уже пару лет.
При желании выдает довольно неплохие результаты, а уж если нужно быстрее, и в IPSec — так за 3 тысячи рублей можно взять RB750Gr3, заточить настройки под него, чтобы криптование было на аппаратном ускорителе — и радоваться!
А уж тесть, я уверен, только рад. Железка хорошая, тем более Микротик с версии 6.30 вроде как сделал WMM powersaving, так что еще и батарею поменьше высаживает.
Блин. Обидно. Я был уверен, что на моем не самом дешёвом 2011UiAS-2HnD есть аппаратное шифрование. Он же красненький!) Просто тот же AES миллион лет как в каждом утюге есть, как мне казалось.
Может вообще шифрование отключить? Тесть и папа на одном провайдере со мной. Иногда хочется тем же Kodi тащить видео без тормозов друг у друга.
А уж 2011 с двумя чипами на 5 портов каждый вообще своеобразное решение.
И всё. Дальше вы уже не заблокируете. Более того, там тако-о-ое доступно, чего детям знать не следует. Медленно, но верно ролики будут грузиться, несмотря на все ваши прежние усилия. Вы ведь используете какой-нибудь «Семейный DNS»? OrFox всё через OrBot резолвит, так что…
В вашем случае, чтобы не вызывать желание обойти точечную блокировку, лучше одним правилом по крону (расписанию) рубить выход в инет по MAC-адресу смартфона, и по крону же включать.
Всё тупо не работает — нет желания обойти точечную блокировку.
И MAC-адреса своего ПК и смарта тоже в скрипт включите — качество сна сразу улучшится, проверено :)
В моём случае: перевожу программный тумблер из положения ВЫКЛ в положение ВКЛ. Не похоже на секс с тремя презервативами ни разу.
Он ничего не "перенаправляет". Он является кроме всего прочего DHCP сервером и выдает клиентам список DNS, который можно настроить.
У нас провайдер стал подменять DNS запросы, пришлось завернуть их на vpn:
/ip firewall mangle
add action=mark-routing chain=prerouting comment=«MARK DNS packets» connection-state=established,related,new dst-port=53 log-prefix="*** DNS FROM WinServer, marking ***" new-routing-mark=\
dns passthrough=no protocol=udp src-address=192.168.16.2
add action=mark-routing chain=prerouting comment=«Marked addresses from RKN list» connection-state=established,related,new dst-address-list=RKN log-prefix="*** RKN mark routing ***" \
new-routing-mark=RKN-list passthrough=no src-address=192.168.16.3
/ip firewall nat
add action=dst-nat chain=dstnat comment=«NAT ALL DNS REQUEST to WinServer» dst-port=53 log-prefix=«DNS request from chosen-one» protocol=udp src-address=192.168.16.3 to-addresses=192.168.16.2 \
to-ports=53
/ip route
add distance=1 gateway=GRE-to-VPN routing-mark=dns
add distance=1 gateway=GRE-to-VPN routing-mark=RKN-list
Маркирую пакеты локального ДНС сервера и запускаю далее. Ну и для одного компа даю выход, минуя блокировки.
На той стороне поднят Cloud Hosted Router 6.41.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
А для обхода достаточно https web proxy.
А можно по-подродробнее — что именно делают эти команды:
add action=mark-connection chain=prerouting protocol=udp
dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
- маркируем соединения к днс-серверу, где пакеты содержат в себе данные, удовлетворяющие regexp (ютуб)
- маркируем пакеты в этих соединениях
ну и потом в фильтре блочим.
естественно подобный фильтр обходится довольно легко.
не тестили — насколько упала производительность после использования l7? я в свое время блочил всякие торренты, в т.ч и с помощью l7 — больше 30 мегабит роутер не выгребал (отож 951). но исходящий канал был меньше, поэтому решение устроило.
а для дома — следующий шаг будет прозрачный прокси, жалко микротик в него не умеет (точнее в https)… можно правда через metarouter запустить виртуалку с openwrt, но производительность будет страдать.
А что касается именно запрета ресурсов, то эффективнее просто узнать все их айпишники дропать по адрес-листам… или даже проще — форсим для дитя микрот как днс-сервер и тупо на нём всё заворачиваем на локал-хост, а сами гуглоднсом пользуемся…
к слову, микрот умеет в адрес-листы и по dns-именам, в ряде случаев удобнее.
Если именно через адреслисты — он динамически генерит адреслист со всеми адресами, которые резолвятся по заданному имени.
по команде — да. но есть хитрость:)
следите за руками.
:local Servers {"mail.ru"};
:foreach Server in=$Servers do={
:resolve $Server;
:foreach aRecord in=[/ip dns cache all find where (name=$Server && type="A")] do={
/ip firewall address-list add list=mail address=[/ip dns cache all get $aRecord data] comment=$Server;
}
}
Засунуть по расписанию каждые пару минут.
:put [:resolve www.ya.ru]
:put [:resolve youtube.com]
:foreach i in=[/ip dns cache all find where (name~«ya.ru» || name~«youtube» ") && (type=«A») ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name];
:log info («added entry: $cacheName $tmpAddress»);
/ip firewall address-list add address=$tmpAddress list=white_list comment=$cacheName;
}
}
Полностью поддерживаю. Вообще использовать L7 на SOHO-маршрутизаторе, на мой взгляд, путь боли и страдания. Кажущаяся простота решения в итоге выливается в кучу граблей.
Маршрутизатор должен маршрутизировать, его удел — второй и третий уровни OSI. Правильно настроенный шейпинг, полиси и расписание дадут требуемый результат при меньшей нагрузке на железо. И при этом с административной стороны родительский запрет будет выглядеть мягче и не настолько категоричным.
Когда я еще не умел толком шейпить на микротике, то решал в семье вопрос следующим образом: заворачивал по расписанию http-запросы на web-proxy микротика, где он отдавал наскоро слепленную html-страничку с напоминанием, что спать — необходимость, а интернет — всего лишь удовольствие. Это гораздо мягче чем жесткий отказ в обслуживании.
Потом у детей настала пора торрентов и пришлось научиться резать и приоритезировать трафик.
Тем более нормальный кос с манглом и приоретизацией тот же 951 грузит очень заметно и у меня при такой настройке выходило выжать только 60 из 100мбит.
Я поступил проще. Так как я убежден что урегулирование вопросов совместного проживания должно в первую очередь решаться социальными способами, а техническими в последнюю, то внутри семьи просто договорились на треть пропускной способности.
QoS никак специально не настраивался, только Burst на 100% на 15 секунд. Этого хватало для комфортного серфинга. Зато в пределах своей полосы, если уж вы ее забили торрентами полностью, то не плачьтесь, что интернет тормозит. Я решил, что такой эффект несет в себе полезный опыт самостоятельного распределения ресурсов.
На всякие подростковые хитрости в духе — поставлю у себя на компьютере скачиваться на все деньги, а серфить пойду на компе у мамы, было решено закрывать глаза. Дети есть дети.
от провайдера приходит письмо, с просьбой прекратить баловаться. в письме заодно письмо уже провайдеру от universal pictures, что мол с вашего ip обнаружено нелегальное скачивание и раздача нашего фильма, перестаньте или примем меры.
пришлось резать :) полностью зарезать да, довольно сложно. советов из интернета не хватило, ЕМНИП я скатился до того, что помимо прочего заблочил мелкие UDP-пакеты (разрешив нужные вроде DNS).
предъявить… как минимум проблем устроить могут, а кому они нужны, эти проблемы:)
попробую найти оригинал письма
From: Business_Abuse_Dept [mailto:abuse-b2b@beeline.ru]
Sent: Wednesday, June 11, 2014 10:37 AM
To: ****
Cc: *****
Subject: >>: **** Notice of Unauthorized Use of Paramount Pictures Corporation Property
Здравствуйте Уважаемый клиент
Нами была получена жалоба на нелегальную активность с одного из адресов Вашей
компании
Просим вас провести расследование на своей сети и устранить указанную проблему в ближайшее время.
С Уважением,
*** ****
Направление администрирования интернет-сервисов
Дирекция по обслуживанию клиентов
abuse@b2b.beeline.ru
— При ответах, пожалуйста, полностью цитируйте переписку
— When replying, please include this message completely in your reply
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Notice ID: ****
Notice Date: 04 Jun 2014 03:33:57 GMT
EDN Sovintel
Dear Sir or Madam:
Irdeto USA, Inc. (hereinafter referred to as «Irdeto») swears under penalty of perjury that Paramount Pictures Corporation («Paramount») has authorized Irdeto to act as its non-exclusive agent for copyright infringement notification. Irdeto's search of the protocol listed below has detected infringements of Paramount's copyright interests on your IP addresses as detailed in the below report.
Irdeto has reasonable good faith belief that use of the material in the manner complained of in the below report is not authorized by Paramount, its agents, or the law. The information provided herein is accurate to the best of our knowledge. Therefore, this letter is an official notification to effect removal of the detected infringement listed in the below report. The Berne Convention for the Protection of Literary and Artistic Works, the Universal Copyright Convention, as well as bilateral treaties with other countries allow for protection of client's copyrighted work even beyond U.S. borders. The below documentation specifies the exact location of the infringement.
We hereby request that you immediately remove or block access to the infringing material, as specified in the copyright laws, and insure the user refrains from using or sharing with others unauthorized Paramount's materials in the future.
Further, we believe that the entire Internet community benefits when these matters are resolved cooperatively. We urge you to take immediate action to stop this infringing activity and inform us of the results of your actions. We appreciate your efforts toward this common goal.
Please send us a prompt response indicating the actions you have taken to resolve this matter, making sure to reference the Notice ID number above in your response.
If you do not wish to reply by email, please use our Web Interface by clicking on the following link: webreply.copyright-compliance.com*****
Nothing in this letter shall serve as a waiver of any rights or remedies of Paramount with respect to the alleged infringement, all of which are expressly reserved. Should you need to contact me, I may be reached at the below address.
Regards,
Andrew Beck
Irdeto USA, Inc.
3255-3 Scott Blvd. Suite 101 Santa Clara, CA 95054
Phone: 408-492-8500 fax: 408-727-6743
paramount@copyright-compliance.com
*pgp public key is available on the key server at pgp.mit.edu
Note: The information transmitted in this Notice is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, reproduction, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from all computers.
This infringement notice contains an XML tag that can be used to automate the processing of this data. If you would like more information on how to use this tag please contact Irdeto.
Evidentiary Information:
Notice ID: *****
Initial Infringement Timestamp: 20 May 2014 13:15:11 GMT
Recent Infringement Timestamp: 03 Jun 2014 15:01:46 GMT
Infringers IP Address: *****
Protocol: BitTorrent
Infringed Work: Jackass Presents: Bad Grandpa
Infringing File Name: Несносный дед / Jackass Presents: Bad Grandpa (2013) HDRip | P | Unrated Cut
Infringing File Size: 1563787264
Bay ID: 3ca13034b781860f41276528c3f513792a76c3d5|1563787264
Port ID: 24541
Infringer's User Name:
— — ---Start ACNS XML
<?xml version=«1.0» encoding=«UTF-8»?>
<Infringement xmlns=«www.acns.net/ACNS» xmlns:xsi=«www.w3.org/2001/XMLSchema-instance» xsi:schemaLocation=«www.acns.net/ACNS www.acns.net/v1.2/ACNS2v1_2.xsd»>
*****
Open
Irdeto USA, Inc
Andrew Beck
3255-3 Scott Blvd. Suite 101, Santa Clara, California 95054 United States of America
408-492-8500,408-727-6743
paramount@copyright-compliance.com
<Service_Provider>
EDN Sovintel
abuse@gldn.net
</Service_Provider>
<TimeStamp>2014-06-03T15:01:46.000Z</TimeStamp>
<IP_Address>******</IP_Address>
<Port>24541</Port>
<Type>BitTorrent</Type>
<Number_Files>1</Number_Files>
<Deja_Vu>No</Deja_Vu>
2014-06-03T15:01:46.000Z
Jackass Presents: Bad Grandpa
�е�но�ный дед / Jackass Presents: Bad Grandpa (2013) HDRip | P | Unrated Cut
1563787264
incoming
И другой момент состоит в том, что желательно блокировать еще TCP/53.
ИМХО: Из пушки по воробьям…
/ip firewall layer7-protocol?
add name=youtube regexp="^.+(youtube).*\$"
Человек выдал свою профессию. Вот по этому программистам всегда нужны будут системные администраторы.
Например то, что это CDN.
Микротики научились адрес листы генерить по днс именам относительно недавно. Я не пробовал блэклисты с ними, но может сработать… правда не уверен по поводу вайлдкард имен и может не сработать на тот же ютуб. Да и сама идея с блэклистами без инспектора протокола и хотя бы логов метаданных ненадежна и легко обходится. Имхо кейс надо решать либо на другом уровне, либо с другой концепцией.
вроде сделал все как написано, почему может не работать? может быть я упустил что то о чем не говорится в статье? он даже не видит пакетов, во вкладках обоих фильтров счетчики по 0 байт
regexp=”^.*youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com).*$”
Отсутствует открывающая скобка.
MikroTik и блокировка нежелательных сайтов (на примере youtube и facebook)