olegtsss 28 окт 2021 в 16:00

Сам себе РКН или родительский контроль с MikroTik (ч.2)

10 мин

18K

Блог компании RUVDS.comИнформационная безопасность*Сетевые технологии*

+30

Комментарии 21

НЛО прилетело и опубликовало эту надпись здесь

olegtsss 28 окт 2021 в 19:07

Мы весь трафик дифференцируем по нужной маркировке. Это делается достаточно тонко. И только в нужных пакетах лезем в content. L7 фильтр работает же с регулярными выражениями, а это совсем другая история.

НЛО прилетело и опубликовало эту надпись здесь

olegtsss 28 окт 2021 в 19:50

/system resource print interval=00:00:00.2
Покажет, что там с нагрузкой.

olegtsss 29 окт 2021 в 03:31

Работы с L7 фильтром связана с регулярными выражениями, требующими гораздо большей вычислительной мощности.

max_rip 28 окт 2021 в 23:08

Техническая реализация это самое простое, а вот наполнение списка...

Так что тут вне конкуренции Яндекс днс или скайднс.

Также кроме фильтра контента, надеюсь будет раскрыт ещё контроль времени, хотя эта функция присутствует из коробки. Но не без проблем. Может есть более интересные варианты.

olegtsss 29 окт 2021 в 03:33

В первой части статьи идет разговор как раз о этом.

ba00 28 окт 2021 в 23:17

Здравствуйте.

А как сейчас обстоит дело с блокировками ютуба на микротике для телефонов ? Всё что описано про маркировку пакетов отлично работает только для ПК, а вот для телефона на андроиде не хочет работать от слова совсем.

olegtsss 29 окт 2021 в 03:33

Вы имеете ввиду работу мобильного приложения Ютуб?

ba00 29 окт 2021 в 10:07

Да. Возможно оно там на какой то свой домен ходит, потому как то что маркируется по правилу ^.+(youtube).*$ на десктопе работает, а на андроиде никак.

olegtsss 29 окт 2021 в 10:15

Интересно, я попробую и напишу позже.

НЛО прилетело и опубликовало эту надпись здесь

Wesha 28 окт 2021 в 23:25

И вот так вот всегда... Вместо того, чтобы посидеть с ребёнком, поговорить, объяснить, проще наклепать софтовую примочку и надеяться, что она от чего-то спасёт.

Мне, например, объяснили, как работает механизм наркотического привыкания. Позднее показали парочку "привыкших" и до какого состояния они себя довели. Знаете, очень отрезвляюще. Желания "попробовать" никогда не возникало — такое дерьмо сами пробуйте.

olegtsss 29 окт 2021 в 03:37

Статья техническая, социологический и психологические стороны родительского контроля не рассматриваются.

Worky 29 окт 2021 в 11:05

Очень нужные статьи! Но сложно: даже не всякий эникейщик осилит, а простые граждане и подавно. Либо нужно что то более просто настраиваемое в интерфейсе, либо не микротик. Как вариант - в будущих версиях РотутерОС добавить фичу контейнеров с ПиХоле.

olegtsss 29 окт 2021 в 16:49

Коллеги пишут, что в RouterOS 7 уже имеется контейнеризация, и то, о чем вы написали, посмотрите комментарии к первой части статьи.

NikaLapka 29 окт 2021 в 11:57

Позвольте внести предложение: разделите задачу на двое: во-первых, оставить рабочим лишь кэширующий DNS микротика, во-вторых, L7 проверять только собственный udp 53 микротика. Мне кажется, что это проще.

В последствии, можно рассмотреть вариант просто со списком доверенных и заблокированных AS.

НЛО прилетело и опубликовало эту надпись здесь

olegtsss 29 окт 2021 в 16:53

Об этом есть в первой части статьи. Достаточно подробно. В этой части предлагается маркировка трафика по схеме:

LAN=>WAN connections DNS Children LAN=>WAN packets DNS Children Children Filter

LAN=>WAN connections Children LAN=>WAN connections HTTPS Children LAN=>WAN connections QUIC Children LAN=>WAN packets Children HTTPS+QUIC Children Filter

LAN=>WAN packets Children ALL Children Filter

Как видно, первым делом фильтруется содержание запрашиваемых доменных имён.

densenator 24 ноя 2021 в 19:17

Теперь соберем все правила Mangle воедино по следующей схеме:

Можно подробнее, как теперь это объединить?

olegtsss 24 ноя 2021 в 19:48

Напишу в личку.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий