Cześć potrzebuję zablokować na na routerze ruch w aplikacji mobilnej youtube, jakie adresy powinienem poblokować?
Dodaj:
Tylko uwaga! Wtedy nie odpali nikt YT na komputerze czy to na TV. Jeśli zależy ci na smartfonie, to byś musial sprecyzować jego MAC adres.
Tu już w grę wchodzi firewall, działający na warstwie 7. Musiałbyś blokować ruch https dla konkretnych domen. Nie dość, że masz kilka domen YT, to każda z nich ma po kilka adresów IP.
Z DNS nie ma sensu się bawić, bo wystarczy podmienić DNS na inny, niż ten z routera.
No w sumie tak . Zapora najlepsza będzie. Masz rację.
Podaj symbol Twojego routera. Może da się w nim wszystko zrobić.
Jeśli to mikrotik to:
/ip firewall layer7-protocol add name=Block regexp="^.+(youtube.com|facebook.com).*$" (czy co tam sobie kto winszuje)
/ip firewall filter add action=reject chain=forward layer7-protocol=Block
i w zasadzie tyle.
A moze raczej tak, patrz ostatni post.
https://forum.mikrotik.com/viewtopic.php?p=777678
Ale mikrotik uprzedza.
Note: When user is logged in youtube will use HTTPS, meaning that L7 will not be able to match this traffic. Only unencrypted HTTP can be matched.
Uprzedza również
Note: The L7 matcher is very resource intensive. Use this feature only for very specific traffic. It is not recommended to use L7 matcher for generic traffic, such as for blocking webpages. This will almost never work correctly and your device will exhaust it’s resources, trying to catch all the traffic. Use other features to block webpages by URL
Nie wiem skąd to wziąłeś, ale po to jest firewall L7, aby filtrować ruch HTTPS. Dziwne, u mnie działa.
Tutaj okej, router nie dość, że musi przefitrować pakiet przez firewall (L3), to musi do niego zajrzeć na L7 i sprawdzić czy nie trzeba go odrzucić.
Przy czym dla jednej domeny, góra 2 obciążenie jest znikome, ale dla całego ruchu HTTPS może być zabójcze. Tyle że taki ruch filtruje się raczej w firmach, a do tego nie używa się routerów, a UTM, ewentualnie NGFW, który powinien stać już za routerami.
Tak przy okazji. Eset i wiele innych programów antywirusowych robi MITM, podstawiając swój SSL.
Wziął to pewnie z linkowanego wątku, polecam wyłączyć np. Stylus lub twój ukochany Adblock Plus jak link wyparował.
W Stylusie możesz mieć złosiliwy styl co nadaje linkom kolor „transparent”:
a[href*="mikrotik"] {
color: transparent !important;
background: none !important
}
Na takie coś się raczej nic nie poradzi jak preferujesz aktualizacje bez ciągłego sprawdzania, co zmieniono.
W ABP wystarczy błąd serwera, że pobrał połowę listy i filtr jakiś się uszkodził lub literówka MajkiegoIT w liście polskiej jak nie lubisz projektu EasyList Polish.
layer7-protocol to nie warstwa 7 TCP/IP
P.S. Stąd. Chcesz się kopać z koniem?
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
https://help.mikrotik.com/docs/display/ROS/Basic+Concepts
Poszukaj uwag i ostrzeżeń.
P.S. Mikrotik to „system routera” i sprzęt
Poprzez „system” z komputera zrobisz router. Jak to jest w firmware na routerze sprzętowym?
No co Ty nie powiesz? TCP, to która to warstwa? IP, która to warstwa? Chcesz sieciowca uczyć o warstwach?
W każdym razie nie odpowiedziałeś na moje pytanie. To, że firewall L7 jest zasobożerny, to wiadome, przynajmniej dla mnie. Dlaczego niby HTTPS nie może być filtrowany na L7? Może źle to ująłem i wyjaśnie jak to działa. W firewall L7 używa się regexp, np. youtube, facebook, a to sprawdzane jest już na L7. Dlatego to obciąża CPU. Router najpierw filtruje pakiet na L3 (IP), trafia na regułkę z filtrowaniem L7, musi w L7 sprawdzić regexp, a tu już powinien zakończyć przetwarzanie pakietu. Jeśli regexp nie zgadza się, musi przetwarzać kolejne reguły firewalla aż trafi na dopasowanie. To zajmuje czas procesora.
Jak pisałem, u mnie działa wycinanie ruchu HTTPS za pomocą L7, oczywiście dla poszególnych domen, zgodnie z ustawiony regexp i mam nadzieję, że rozumiesz teraz jak to działa.
Każdy router czy firewall ma system operacyjny. Nawet switch zarządzalne mają systemy operacyjne. W większości przyapdków są to systemy wbudowane, bazujące na kernelu Linux. Cisco na routerach i switchach ma system IOS, Cisco ASA ma system bazujący na kernelu Linux. Juniper, z tego co kojarzę, bazuje lub bazował na FreeBSD. W Mikrotiku jest system operacyjny RouterOS, który bazuje na kernelu Linux. Oprócz tego Mikrotik ma firmware dla swoich płyt głównych i nie tylko, bo np. dla modemów LTE. W urządzeniach Mikrotik aktualizuje się system, firmware routerbord i w np. Chateau również firmware modemu LTE. W szafie mam jakiegoś Archera, który też działa pod kontrolą Linuksa.
Sieciowiec. Świetny żart.
Pożartowałem a teraz powaznie
P.S. Dowiedz sie co to „aplikacja mobilna” i na czym jest instalowana. Oraz czy na jakimś routerze można ja zablokować.
P.S.
Dla ułatwienia, zablokuj poprzez router całkowicie sieć na swoim smartfonie
Mikrotik RouterOS jest wersji pod x86, więc nawet z laptopa można zrobić router bez problemu. Z drugiej strony każdy router to po prostu komputer i zwykle ma jakiś system, przeważnie okrojony do funkcji jakie są potrzebne do realizacji funkcji do jakich został zaprojektowany.
Niema czegoś takiego. To tylko nazwa dla aplikacji instalowanej na urządzeniach mobilnych, z tym, że jeśli mamy zainstalowanego Androida na jakimś telewizorze czy np. komputerze stacjonarnym, to trudno mówić o mobilności, aczkolwiek można by zabrać na wózek agregat i telewizor na plecy, z tym, że w takim rozumieniu, to wszystkie aplikacje są mobilne włącznie z serwerami. W końcu na tira też można serwerownie zapakować.
Bingo. Na urządzeniach mobilnych. Czyżby ktoś chciał zablokować ruch w telewizorze? Czy raczej na smartfonie. No i raczej nie sobie. Bo i po co. Raczej dziecku.
Jeśli chciał to robić przy pomocy routera to wypadało zapytać jaki router , jakiego sprzętu ta blokada ma dotyczyć i jeśli to z duzym prawdopodobieństwem smartfon to wklepać w wyszukiwarkę „blokowanie youtube dziecku” i podać linki rozmaitych rozwiazań lub jeszcze prościej, napisać „wklep sobie to w wyszukiwarkę sam”.
Tyle, że to brednie, bo jak wyżej napisałem KAŻDA APLIKACJA MOŻE BYĆ MOBILNA.
Dla dzieci, to się uruchamia na Mikrotiku po prostu kontrole rodzicielską, która jest bardzo przyzwoicie wykonana i po temacie.
Poza tym na telefony są również kontrole rodzicielskie, dzięki temu wiemy gdzie jest dziecko, z czego korzysta i mamy kontrolę nad tym kiedy i jak.
Może najpierw zapytaj autora tematu co ma, i o jaki sprzęt chodzi zamiast pisać ze na czymś takim a takim to można zrobić tak. Ręce opadają.
Ciekawy temat poruszony, tj jak (i czy się da) filtrować ruch HTTPS po domenie.
Czyli nazwa domenowa jest przesyłana w pewnych miejscach (server name, certyfikat) jeszcze przed nawiązaniem połączenia SSL i można ją wyłapać. Pewnie dlatego filtrowanie w L7 działa.
W wielu przypadkach okaże się wystarczające chyba że chcemy wyłapać jakąś część z URL po domenie - tego już bez sztuczek z rozszywaniem SSLa się nie da.
Dobrze myślę, Panowie się zgadzają? Zaznaczam że nie jestem ekspertem od sieci.
Może być, nie musi
patrz: dns over https
FW L7 używają własnego certyfikatu instalowanego na urządzeniach końcowych żeby móc dokładnie śledzić ruch.
Ty czym się zawodowo zajmujesz, bo na pewno nie sieciami?
Nie musisz wiedzieć.
Ale fakt ze na stronie manuala nie potrafisz doczytać dwóch ważnych informacji oraz ze trzeba cię jednak było pokierować, coś mówi.
No i to.
Czy zadającemu pytanie chodziło o mikrotik? A moze jednak o coś innego.