Комментарии 79
Теперь ждём статью от сына — «Домашний РКН. Обход цензуры на MikroTik RB951G-2HnD незаметно от папы».
Кстати роутер замечательный. Пользуюсь уже пару лет.
Кстати роутер замечательный. Пользуюсь уже пару лет.
Только уже слабоват для VPN с тяжёлыми шифрованием. Проседает. А так, да. У тестя стоит до сих пор.
Так никто не обещал сумасшедшей производительности шифрования. Вы сколько от него ожидали, и какой VPN используете?
При желании выдает довольно неплохие результаты, а уж если нужно быстрее, и в IPSec — так за 3 тысячи рублей можно взять RB750Gr3, заточить настройки под него, чтобы криптование было на аппаратном ускорителе — и радоваться!
А уж тесть, я уверен, только рад. Железка хорошая, тем более Микротик с версии 6.30 вроде как сделал WMM powersaving, так что еще и батарею поменьше высаживает.
При желании выдает довольно неплохие результаты, а уж если нужно быстрее, и в IPSec — так за 3 тысячи рублей можно взять RB750Gr3, заточить настройки под него, чтобы криптование было на аппаратном ускорителе — и радоваться!
А уж тесть, я уверен, только рад. Железка хорошая, тем более Микротик с версии 6.30 вроде как сделал WMM powersaving, так что еще и батарею поменьше высаживает.
Точных цифр не помню, но на l2tp/IPsec с AES начинал проседать в районе 18 мегабит. Видео с сервера в моей квартире уже не получалось тащить. Поэтому компромиссный вариант. L2TP + mppe128. Тогда хватает на 40-50 мегабит.
Блин. Обидно. Я был уверен, что на моем не самом дешёвом 2011UiAS-2HnD есть аппаратное шифрование. Он же красненький!) Просто тот же AES миллион лет как в каждом утюге есть, как мне казалось.
Может вообще шифрование отключить? Тесть и папа на одном провайдере со мной. Иногда хочется тем же Kodi тащить видео без тормозов друг у друга.
НЛО прилетело и опубликовало эту надпись здесь
Скоро сын научится пользоваться Тором, для смартфона это OrBot+OrFox. Банально нагуглит через «обход блокировок».
И всё. Дальше вы уже не заблокируете. Более того, там тако-о-ое доступно, чего детям знать не следует. Медленно, но верно ролики будут грузиться, несмотря на все ваши прежние усилия. Вы ведь используете какой-нибудь «Семейный DNS»? OrFox всё через OrBot резолвит, так что…
В вашем случае, чтобы не вызывать желание обойти точечную блокировку, лучше одним правилом по крону (расписанию) рубить выход в инет по MAC-адресу смартфона, и по крону же включать.
Всё тупо не работает — нет желания обойти точечную блокировку.
И MAC-адреса своего ПК и смарта тоже в скрипт включите — качество сна сразу улучшится, проверено :)
И всё. Дальше вы уже не заблокируете. Более того, там тако-о-ое доступно, чего детям знать не следует. Медленно, но верно ролики будут грузиться, несмотря на все ваши прежние усилия. Вы ведь используете какой-нибудь «Семейный DNS»? OrFox всё через OrBot резолвит, так что…
В вашем случае, чтобы не вызывать желание обойти точечную блокировку, лучше одним правилом по крону (расписанию) рубить выход в инет по MAC-адресу смартфона, и по крону же включать.
Всё тупо не работает — нет желания обойти точечную блокировку.
И MAC-адреса своего ПК и смарта тоже в скрипт включите — качество сна сразу улучшится, проверено :)
ну можно и WAN провод достать — это 100% гарантия ))), а у меня иммунитет, так что mac и ip не обязательно блочить, ну и надеюсь в 10 лет сын Tor не начнет пользовать, хотя если и так, это будет полезным опытом для него и повышением экспиренса. Кстати, можно и не блочить Tor, достаточно ограничить скорость по ip и ему просто станет не интересно )
И ребёнок полезет в гугл с запросом «android изменить mac адрес».
Для таких целей разрешённые mac-адреса добавляются в wireless access list и внезапная смена мака на телефоне лишит его возможности получать dhcp.
И всё это превращается в секс с тремя презервативами. Вот когда ко мне приходят гости, я им просто даю пароль от Wi-Fi, а в вашем случае — см. выше.
Когда ко мне приходят гости которым очень критичен именно wifi (будете смеяться, у меня в квартире 3G стабильнее чем мой же wifi), я просто включаю гостевую сеть без пароля.
В моём случае: перевожу программный тумблер из положения ВЫКЛ в положение ВКЛ. Не похоже на секс с тремя презервативами ни разу.
В моём случае: перевожу программный тумблер из положения ВЫКЛ в положение ВКЛ. Не похоже на секс с тремя презервативами ни разу.
Микротик позволяет перенаправлять DNS запросы на свой внутренний DNS?
Легко.
Он ничего не "перенаправляет". Он является кроме всего прочего DHCP сервером и выдает клиентам список DNS, который можно настроить.
Вероятно, Tyrauriel имел в виду, что MikroTik может перехватывать запросы на целевой порт и перенаправлять их?
И на внешний тоже.
У нас провайдер стал подменять DNS запросы, пришлось завернуть их на vpn:
/ip firewall mangle
add action=mark-routing chain=prerouting comment=«MARK DNS packets» connection-state=established,related,new dst-port=53 log-prefix="*** DNS FROM WinServer, marking ***" new-routing-mark=\
dns passthrough=no protocol=udp src-address=192.168.16.2
add action=mark-routing chain=prerouting comment=«Marked addresses from RKN list» connection-state=established,related,new dst-address-list=RKN log-prefix="*** RKN mark routing ***" \
new-routing-mark=RKN-list passthrough=no src-address=192.168.16.3
/ip firewall nat
add action=dst-nat chain=dstnat comment=«NAT ALL DNS REQUEST to WinServer» dst-port=53 log-prefix=«DNS request from chosen-one» protocol=udp src-address=192.168.16.3 to-addresses=192.168.16.2 \
to-ports=53
/ip route
add distance=1 gateway=GRE-to-VPN routing-mark=dns
add distance=1 gateway=GRE-to-VPN routing-mark=RKN-list
Маркирую пакеты локального ДНС сервера и запускаю далее. Ну и для одного компа даю выход, минуя блокировки.
На той стороне поднят Cloud Hosted Router 6.41.
У нас провайдер стал подменять DNS запросы, пришлось завернуть их на vpn:
/ip firewall mangle
add action=mark-routing chain=prerouting comment=«MARK DNS packets» connection-state=established,related,new dst-port=53 log-prefix="*** DNS FROM WinServer, marking ***" new-routing-mark=\
dns passthrough=no protocol=udp src-address=192.168.16.2
add action=mark-routing chain=prerouting comment=«Marked addresses from RKN list» connection-state=established,related,new dst-address-list=RKN log-prefix="*** RKN mark routing ***" \
new-routing-mark=RKN-list passthrough=no src-address=192.168.16.3
/ip firewall nat
add action=dst-nat chain=dstnat comment=«NAT ALL DNS REQUEST to WinServer» dst-port=53 log-prefix=«DNS request from chosen-one» protocol=udp src-address=192.168.16.3 to-addresses=192.168.16.2 \
to-ports=53
/ip route
add distance=1 gateway=GRE-to-VPN routing-mark=dns
add distance=1 gateway=GRE-to-VPN routing-mark=RKN-list
Маркирую пакеты локального ДНС сервера и запускаю далее. Ну и для одного компа даю выход, минуя блокировки.
На той стороне поднят Cloud Hosted Router 6.41.
Это всё хорошо работает, пока на смартфоне ребёнка нет мобильного интернета! Видимо глушилку надо заранее приобрести…
А можно пояснить (может быть даже в статье) что конкретно происходит при такой маркировке по регэкспу в микротике? Что именно матчится? Dns запрос? Поле host? Url? Весь текстовый трафик? Что насчёт https?
layer7-protocol is a method of searching for patterns in ICMP/TCP/UDP streams.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
А для обхода достаточно https web proxy.
>>Далее создаем правила для маркировки соединений и пакетов:
А можно по-подродробнее — что именно делают эти команды:
А можно по-подродробнее — что именно делают эти команды:
add action=mark-connection chain=prerouting protocol=udp
dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
- маркируем соединения к днс-серверу, где пакеты содержат в себе данные, удовлетворяющие regexp (ютуб)
- маркируем пакеты в этих соединениях
ну и потом в фильтре блочим.
естественно подобный фильтр обходится довольно легко.
НЛО прилетело и опубликовало эту надпись здесь
Правило блокировки для цепочки input всё-таки лишнее.
не тестили — насколько упала производительность после использования l7? я в свое время блочил всякие торренты, в т.ч и с помощью l7 — больше 30 мегабит роутер не выгребал (отож 951). но исходящий канал был меньше, поэтому решение устроило.
а для дома — следующий шаг будет прозрачный прокси, жалко микротик в него не умеет (точнее в https)… можно правда через metarouter запустить виртуалку с openwrt, но производительность будет страдать.
Неуниверсально. Я бы ребёнку ограничил количество соединений и настроил шейпинг с бурстом — чтобы по сайтам норм ходить, а видосы на 64кбит пусть качаются…
А что касается именно запрета ресурсов, то эффективнее просто узнать все их айпишники дропать по адрес-листам… или даже проще — форсим для дитя микрот как днс-сервер и тупо на нём всё заворачиваем на локал-хост, а сами гуглоднсом пользуемся…
А что касается именно запрета ресурсов, то эффективнее просто узнать все их айпишники дропать по адрес-листам… или даже проще — форсим для дитя микрот как днс-сервер и тупо на нём всё заворачиваем на локал-хост, а сами гуглоднсом пользуемся…
к слову, микрот умеет в адрес-листы и по dns-именам, в ряде случаев удобнее.
Но есть с этим одна проблемка — он резолвит только 1й адрес. Зачастую и это не страшно, но гарантировать актуальность запрещаемого адреса мы по таким адрес-листам не можем.
Если именно через адреслисты — он динамически генерит адреслист со всеми адресами, которые резолвятся по заданному имени.
пруф
Ваша правда, это оно командой по одному адресу резолвит — недавно хотел сделать скрипт для настройки радиусов по резолву и помню очень мне это помешало…
по команде — да. но есть хитрость:)
следите за руками.
:local Servers {"mail.ru"};
:foreach Server in=$Servers do={
:resolve $Server;
:foreach aRecord in=[/ip dns cache all find where (name=$Server && type="A")] do={
/ip firewall address-list add list=mail address=[/ip dns cache all get $aRecord data] comment=$Server;
}
}
А можно и вайтлист (ещё не обновился до пакетов, где дают в адрес лист пихать днс имя, и не тестил нормально)
Засунуть по расписанию каждые пару минут.
:put [:resolve www.ya.ru]
:put [:resolve youtube.com]
:foreach i in=[/ip dns cache all find where (name~«ya.ru» || name~«youtube» ") && (type=«A») ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name];
:log info («added entry: $cacheName $tmpAddress»);
/ip firewall address-list add address=$tmpAddress list=white_list comment=$cacheName;
}
}
Засунуть по расписанию каждые пару минут.
:put [:resolve www.ya.ru]
:put [:resolve youtube.com]
:foreach i in=[/ip dns cache all find where (name~«ya.ru» || name~«youtube» ") && (type=«A») ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name];
:log info («added entry: $cacheName $tmpAddress»);
/ip firewall address-list add address=$tmpAddress list=white_list comment=$cacheName;
}
}
Полностью поддерживаю. Вообще использовать L7 на SOHO-маршрутизаторе, на мой взгляд, путь боли и страдания. Кажущаяся простота решения в итоге выливается в кучу граблей.
Маршрутизатор должен маршрутизировать, его удел — второй и третий уровни OSI. Правильно настроенный шейпинг, полиси и расписание дадут требуемый результат при меньшей нагрузке на железо. И при этом с административной стороны родительский запрет будет выглядеть мягче и не настолько категоричным.
Когда я еще не умел толком шейпить на микротике, то решал в семье вопрос следующим образом: заворачивал по расписанию http-запросы на web-proxy микротика, где он отдавал наскоро слепленную html-страничку с напоминанием, что спать — необходимость, а интернет — всего лишь удовольствие. Это гораздо мягче чем жесткий отказ в обслуживании.
Потом у детей настала пора торрентов и пришлось научиться резать и приоритезировать трафик.
А как торренты побороли? Из моей практики полностью их зарезать достаточно сложно… В итоге вообще отказался от идеи их шейпить — интернет, пока, относительно дёшев в крупных городах, а торренты на деле мешают только игрушкам чувствительным к задержкам, всё остальное относительно незаметно деградирует на широком канале даже при полной его утилизации.
Тем более нормальный кос с манглом и приоретизацией тот же 951 грузит очень заметно и у меня при такой настройке выходило выжать только 60 из 100мбит.
Тем более нормальный кос с манглом и приоретизацией тот же 951 грузит очень заметно и у меня при такой настройке выходило выжать только 60 из 100мбит.
Я поступил проще. Так как я убежден что урегулирование вопросов совместного проживания должно в первую очередь решаться социальными способами, а техническими в последнюю, то внутри семьи просто договорились на треть пропускной способности.
QoS никак специально не настраивался, только Burst на 100% на 15 секунд. Этого хватало для комфортного серфинга. Зато в пределах своей полосы, если уж вы ее забили торрентами полностью, то не плачьтесь, что интернет тормозит. Я решил, что такой эффект несет в себе полезный опыт самостоятельного распределения ресурсов.
На всякие подростковые хитрости в духе — поставлю у себя на компьютере скачиваться на все деньги, а серфить пойду на компе у мамы, было решено закрывать глаза. Дети есть дети.
торренты могут сделать огорчение организации… как было у одного клиента — «гостевой» wi-fi, без проксей, без доступа в локалку, просто зарезан приоритет, чтоб не мешал никто работе основных сервисов.
от провайдера приходит письмо, с просьбой прекратить баловаться. в письме заодно письмо уже провайдеру от universal pictures, что мол с вашего ip обнаружено нелегальное скачивание и раздача нашего фильма, перестаньте или примем меры.
пришлось резать :) полностью зарезать да, довольно сложно. советов из интернета не хватило, ЕМНИП я скатился до того, что помимо прочего заблочил мелкие UDP-пакеты (разрешив нужные вроде DNS).
от провайдера приходит письмо, с просьбой прекратить баловаться. в письме заодно письмо уже провайдеру от universal pictures, что мол с вашего ip обнаружено нелегальное скачивание и раздача нашего фильма, перестаньте или примем меры.
пришлось резать :) полностью зарезать да, довольно сложно. советов из интернета не хватило, ЕМНИП я скатился до того, что помимо прочего заблочил мелкие UDP-пакеты (разрешив нужные вроде DNS).
Какая-то совсем исключительная ситуация — впервые слышу чтобы правообладатели к провайдеру обращались. Более того — подозреваю он вам по договору предъявить ничего не может… Более вероятно что к вам напрямую постучатся, особенно если у вас айпи белый, а юрикам почти всегда белый все дают.
если хуизом посмотреть айпишник — там не светится юрлицо компании, а вот адрес абузы провайдера — есть. туда и пишут.
предъявить… как минимум проблем устроить могут, а кому они нужны, эти проблемы:)
предъявить… как минимум проблем устроить могут, а кому они нужны, эти проблемы:)
Но провайдер-то здесь совсем сбоку будет если он зареган как провайдер — лесом может всех правооладателей посылать, а если из суда будет запрос, то просто инфу о клиенте даст.
согласен. поэтому что одни, что другие — просили прекратить бардак, а не то…
попробую найти оригинал письма
попробую найти оригинал письма
нашел. если интересно — вот оно. кстати соврал, не universal. а paramaunt
страшное письмо
From: Business_Abuse_Dept [mailto:abuse-b2b@beeline.ru]
Sent: Wednesday, June 11, 2014 10:37 AM
To: ****
Cc: *****
Subject: >>: **** Notice of Unauthorized Use of Paramount Pictures Corporation Property
Здравствуйте Уважаемый клиент
Нами была получена жалоба на нелегальную активность с одного из адресов Вашей
компании
Просим вас провести расследование на своей сети и устранить указанную проблему в ближайшее время.
С Уважением,
*** ****
Направление администрирования интернет-сервисов
Дирекция по обслуживанию клиентов
abuse@b2b.beeline.ru
— При ответах, пожалуйста, полностью цитируйте переписку
— When replying, please include this message completely in your reply
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Notice ID: ****
Notice Date: 04 Jun 2014 03:33:57 GMT
EDN Sovintel
Dear Sir or Madam:
Irdeto USA, Inc. (hereinafter referred to as «Irdeto») swears under penalty of perjury that Paramount Pictures Corporation («Paramount») has authorized Irdeto to act as its non-exclusive agent for copyright infringement notification. Irdeto's search of the protocol listed below has detected infringements of Paramount's copyright interests on your IP addresses as detailed in the below report.
Irdeto has reasonable good faith belief that use of the material in the manner complained of in the below report is not authorized by Paramount, its agents, or the law. The information provided herein is accurate to the best of our knowledge. Therefore, this letter is an official notification to effect removal of the detected infringement listed in the below report. The Berne Convention for the Protection of Literary and Artistic Works, the Universal Copyright Convention, as well as bilateral treaties with other countries allow for protection of client's copyrighted work even beyond U.S. borders. The below documentation specifies the exact location of the infringement.
We hereby request that you immediately remove or block access to the infringing material, as specified in the copyright laws, and insure the user refrains from using or sharing with others unauthorized Paramount's materials in the future.
Further, we believe that the entire Internet community benefits when these matters are resolved cooperatively. We urge you to take immediate action to stop this infringing activity and inform us of the results of your actions. We appreciate your efforts toward this common goal.
Please send us a prompt response indicating the actions you have taken to resolve this matter, making sure to reference the Notice ID number above in your response.
If you do not wish to reply by email, please use our Web Interface by clicking on the following link: webreply.copyright-compliance.com*****
Nothing in this letter shall serve as a waiver of any rights or remedies of Paramount with respect to the alleged infringement, all of which are expressly reserved. Should you need to contact me, I may be reached at the below address.
Regards,
Andrew Beck
Irdeto USA, Inc.
3255-3 Scott Blvd. Suite 101 Santa Clara, CA 95054
Phone: 408-492-8500 fax: 408-727-6743
paramount@copyright-compliance.com
*pgp public key is available on the key server at pgp.mit.edu
Note: The information transmitted in this Notice is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, reproduction, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from all computers.
This infringement notice contains an XML tag that can be used to automate the processing of this data. If you would like more information on how to use this tag please contact Irdeto.
Evidentiary Information:
Notice ID: *****
Initial Infringement Timestamp: 20 May 2014 13:15:11 GMT
Recent Infringement Timestamp: 03 Jun 2014 15:01:46 GMT
Infringers IP Address: *****
Protocol: BitTorrent
Infringed Work: Jackass Presents: Bad Grandpa
Infringing File Name: Несносный дед / Jackass Presents: Bad Grandpa (2013) HDRip | P | Unrated Cut
Infringing File Size: 1563787264
Bay ID: 3ca13034b781860f41276528c3f513792a76c3d5|1563787264
Port ID: 24541
Infringer's User Name:
— — ---Start ACNS XML
<?xml version=«1.0» encoding=«UTF-8»?>
<Infringement xmlns=«www.acns.net/ACNS» xmlns:xsi=«www.w3.org/2001/XMLSchema-instance» xsi:schemaLocation=«www.acns.net/ACNS www.acns.net/v1.2/ACNS2v1_2.xsd»>
*****
Open
Irdeto USA, Inc
Andrew Beck
3255-3 Scott Blvd. Suite 101, Santa Clara, California 95054 United States of America
408-492-8500,408-727-6743
paramount@copyright-compliance.com
<Service_Provider>
EDN Sovintel
abuse@gldn.net
</Service_Provider>
2014-06-03T15:01:46.000Z
Jackass Presents: Bad Grandpa
�е�но�ный дед / Jackass Presents: Bad Grandpa (2013) HDRip | P | Unrated Cut
1563787264
incoming
From: Business_Abuse_Dept [mailto:abuse-b2b@beeline.ru]
Sent: Wednesday, June 11, 2014 10:37 AM
To: ****
Cc: *****
Subject: >>: **** Notice of Unauthorized Use of Paramount Pictures Corporation Property
Здравствуйте Уважаемый клиент
Нами была получена жалоба на нелегальную активность с одного из адресов Вашей
компании
Просим вас провести расследование на своей сети и устранить указанную проблему в ближайшее время.
С Уважением,
*** ****
Направление администрирования интернет-сервисов
Дирекция по обслуживанию клиентов
abuse@b2b.beeline.ru
— При ответах, пожалуйста, полностью цитируйте переписку
— When replying, please include this message completely in your reply
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Notice ID: ****
Notice Date: 04 Jun 2014 03:33:57 GMT
EDN Sovintel
Dear Sir or Madam:
Irdeto USA, Inc. (hereinafter referred to as «Irdeto») swears under penalty of perjury that Paramount Pictures Corporation («Paramount») has authorized Irdeto to act as its non-exclusive agent for copyright infringement notification. Irdeto's search of the protocol listed below has detected infringements of Paramount's copyright interests on your IP addresses as detailed in the below report.
Irdeto has reasonable good faith belief that use of the material in the manner complained of in the below report is not authorized by Paramount, its agents, or the law. The information provided herein is accurate to the best of our knowledge. Therefore, this letter is an official notification to effect removal of the detected infringement listed in the below report. The Berne Convention for the Protection of Literary and Artistic Works, the Universal Copyright Convention, as well as bilateral treaties with other countries allow for protection of client's copyrighted work even beyond U.S. borders. The below documentation specifies the exact location of the infringement.
We hereby request that you immediately remove or block access to the infringing material, as specified in the copyright laws, and insure the user refrains from using or sharing with others unauthorized Paramount's materials in the future.
Further, we believe that the entire Internet community benefits when these matters are resolved cooperatively. We urge you to take immediate action to stop this infringing activity and inform us of the results of your actions. We appreciate your efforts toward this common goal.
Please send us a prompt response indicating the actions you have taken to resolve this matter, making sure to reference the Notice ID number above in your response.
If you do not wish to reply by email, please use our Web Interface by clicking on the following link: webreply.copyright-compliance.com*****
Nothing in this letter shall serve as a waiver of any rights or remedies of Paramount with respect to the alleged infringement, all of which are expressly reserved. Should you need to contact me, I may be reached at the below address.
Regards,
Andrew Beck
Irdeto USA, Inc.
3255-3 Scott Blvd. Suite 101 Santa Clara, CA 95054
Phone: 408-492-8500 fax: 408-727-6743
paramount@copyright-compliance.com
*pgp public key is available on the key server at pgp.mit.edu
Note: The information transmitted in this Notice is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, reproduction, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from all computers.
This infringement notice contains an XML tag that can be used to automate the processing of this data. If you would like more information on how to use this tag please contact Irdeto.
Evidentiary Information:
Notice ID: *****
Initial Infringement Timestamp: 20 May 2014 13:15:11 GMT
Recent Infringement Timestamp: 03 Jun 2014 15:01:46 GMT
Infringers IP Address: *****
Protocol: BitTorrent
Infringed Work: Jackass Presents: Bad Grandpa
Infringing File Name: Несносный дед / Jackass Presents: Bad Grandpa (2013) HDRip | P | Unrated Cut
Infringing File Size: 1563787264
Bay ID: 3ca13034b781860f41276528c3f513792a76c3d5|1563787264
Port ID: 24541
Infringer's User Name:
— — ---Start ACNS XML
<?xml version=«1.0» encoding=«UTF-8»?>
<Infringement xmlns=«www.acns.net/ACNS» xmlns:xsi=«www.w3.org/2001/XMLSchema-instance» xsi:schemaLocation=«www.acns.net/ACNS www.acns.net/v1.2/ACNS2v1_2.xsd»>
*****
Open
Irdeto USA, Inc
Andrew Beck
3255-3 Scott Blvd. Suite 101, Santa Clara, California 95054 United States of America
408-492-8500,408-727-6743
paramount@copyright-compliance.com
<Service_Provider>
EDN Sovintel
abuse@gldn.net
</Service_Provider>
<TimeStamp>2014-06-03T15:01:46.000Z</TimeStamp>
<IP_Address>******</IP_Address>
<Port>24541</Port>
<Type>BitTorrent</Type>
<Number_Files>1</Number_Files>
<Deja_Vu>No</Deja_Vu>
2014-06-03T15:01:46.000Z
Jackass Presents: Bad Grandpa
�е�но�ный дед / Jackass Presents: Bad Grandpa (2013) HDRip | P | Unrated Cut
1563787264
incoming
Fasttrack забыли отключить :)
Я уж не специалист в теме сетей, но хотел бы уточнить по поводу варианта «который делать нельзя». Ну т.е. если мы будем маркировать только SYN пакеты и их дропать, разве это не решит проблему? И производительность не пострадает ну и handshake не состоится с «вражеским» ресурсом.
Я тоже не специалист, поэтому доверился специалистам из микротика, вот ссылка на оригинал, в pdf формате, если любите смотреть, а не читать, скину ссылку на ролик (на английском)
Подскажите, какая цель преследовалась, когда вы помечали пакеты, а потом помеченные пакеты дропали? Если я правильно понимаю, то можно вместо пометки сразу дропать.
И другой момент состоит в том, что желательно блокировать еще TCP/53.
И другой момент состоит в том, что желательно блокировать еще TCP/53.
Первое add action помечает соединение (в данном случае DNS запрос на youtube) меткой youtube_conn. Второе add action помечает все пакеты в рамках соединения youtube_conn как youtube_packet.
НЛО прилетело и опубликовало эту надпись здесь
Может было бы проще раздавать всем клиентам в сети настройки DHCP с Google Public DNS, а тем кому больше всех надо — направлять встроенный в Mikrotik с заранее добавленной записью о «youtube.com 127.0.0.1»?
ИМХО: Из пушки по воробьям…
ИМХО: Из пушки по воробьям…
Я, вот, не пойму, что мешало узнать ip адреса youtube.com, и заблокировать их для определённого ip в своей сети. Зачем вот эти:
Человек выдал свою профессию. Вот по этому программистам всегда нужны будут системные администраторы.
/ip firewall layer7-protocol?
add name=youtube regexp="^.+(youtube).*\$"
Человек выдал свою профессию. Вот по этому программистам всегда нужны будут системные администраторы.
Например то, что это CDN.
А как вы будете гарантировать, что они завтра не поменяются? В облачных окружениях и CDNах это сильно актуально
А тот человек (Janis Megis), что лекции микротика читает, тоже выдал свою профессию? Так вы ему напишите, что ему тоже нужен администратор (системый), предложите свое изящное решение, и желательно чтоб микротиковцы на своих лекциях говорили, что надо делать именно так, будет супер, и будет что показать. А то пока, как я вижу нечего… ) Но я судить не берусь, я же выдал профессию.
есть рабочий способ резать рекламу в родном приложении youtube для ios? любые правила в роутере, перенаправление dns и vpn не помогают.в лучшем случае блок работает через просмотр в браузере
Микротики научились адрес листы генерить по днс именам относительно недавно. Я не пробовал блэклисты с ними, но может сработать… правда не уверен по поводу вайлдкард имен и может не сработать на тот же ютуб. Да и сама идея с блэклистами без инспектора протокола и хотя бы логов метаданных ненадежна и легко обходится. Имхо кейс надо решать либо на другом уровне, либо с другой концепцией.
Хотелось бы также узнать есть ли решение по блокировке пакетов как сказали выше — через ТОР и впны
вроде сделал все как написано, почему может не работать? может быть я упустил что то о чем не говорится в статье? он даже не видит пакетов, во вкладках обоих фильтров счетчики по 0 байт
Я предлагаю пойти еще дальше и воспользоваться решением из второй серии четвертого сезона «Черного Зеркала». это решение более универсально и избавляет от всех проблем сразу.
regexp=”^.*youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com).*$”Отсутствует открывающая скобка.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
MikroTik и блокировка нежелательных сайтов (на примере youtube и facebook)