» MikroTik RouterOS (часть 2)

проблема в том, что есть куча обходных сайтов которые в развании link-а не содержит ничего похожего на odnoklassniki.ru

ну типа see-room.ru

вот и хоче, чтобы ни я сидел и шпионил а Mikrotik по заголовку окна сайта или как-то по контенту определяло, что это odnoklassniki и лочило доступ к ресурсу.


Заранее спасибо

Добавлено:
Просто существует очень много так называемых обходных сайтов в адресной строке которых нет ничего похожего на название odnoklassniki.ru, типа see-room.ru.

Вот я их хочу, чтобы Mikrotik смотрел по заголовку окна браузера на сходство заданных слов для блокировки или ещё лучше, чтобы анализировал контент открываемого сайта на похожесть с odnoklassnik-ами и лочил.
Пользователи ходят в нет через Web Proxy

Заранее спасибо за помощь.

Добавлено:
по ссылке
http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

там указанн как блокировать по содержимому в заголовке, а как блокировать по указанным словам в тексте и контенте самого сайта?

RouterOS Web Proxy не имеет анализатора контента веб-страниц. даже L7-фильтр в файрволе только несколько первых килобайт соединения контролирует. так что проще всего - поставить Squid

Добавлено:
RouterOS Web Proxy не имеет анализатора контента веб-страниц. даже L7-фильтр в файрволе только несколько первых килобайт соединения контролирует. так что проще всего - поставить Squid

А понимать заголовки может??


Просто Squid ставить не дают добро - сказали реализовывать на уровне Mikrotik

Кто и как полностью блокирует доступ к этому сайту - поделитесь плиз решением

Добавлено:
А понимать заголовки может??


Просто Squid ставить не дают добро - сказали реализовывать на уровне Mikrotik

Кто и как полностью блокирует доступ к этому сайту - поделитесь плиз решением

Цитата:

Кто и как полностью блокирует доступ к этому сайту - поделитесь плиз решением

думаю что ни как, так как народ у нас нынче продвинутый..
что мешает например набрать:
Прокси аноним
а потом odnoklassniki.ru
в биллинге делал не большую защиту от дурака типа блокировки IP,
но сами понимаете на сколько это работает...
постоянно надо проверять списки IP:
nslookup odnoklassniki.ru

Цитата:

постоянно надо проверять списки IP:
nslookup odnoklassniki.ru

я бы сказал,
Код: whois -h whois.ripe.net RU-SOVINTEL-MSK-Odnoklassniki-RU-NET | grep inetnum

Chupaka

whois -h whois.ripe.net RU-SOVINTEL-MSK-Odnoklassniki-RU-NET | grep inetnum

и что я этим решу??

наверное не помогает это правило:

Код: add action=drop chain=forward comment="TCP connection limit (70-1)" connection-limit=70,32 disabled=no protocol=tcp tcp-flags=syn

Цитата:

и что я этим решу??

не знаю, я это писал для vlh =)

vlh
торч показывает пакеты до того, как они попадут в файрвол - поэтому надо использовать выходной интерфейс для него, а не входной...

Vovcik81

Цитата:

Просто Squid ставить не дают добро

кто такой злой? Надеюсь файловый сервер и виртуальные машины не заставляют на МК внедрять?

Chupaka

Цитата:

торч показывает пакеты до того, как они попадут в файрвол - поэтому надо использовать выходной интерфейс для него, а не входной...

в Torch я проверяю на интерфейсе который смотрит в локальную сеть,
потому как на интерфейсе который смотрит к провайдеру виден только
IP роутера.....
хорошо, тогда в Connection столбец TCP State что обозначают надписи:
не все понятны...
established - установлено соединение
time wait - ожидает соединение
close - закрыто соединение
last ack -
syn sent -
fin wait -
close wait - ожидает закрытия
есть и пустые поля.....
и в первом столбце буквы A и U
или где про это почитать?

народ всем добрый день! вообщем имеем PCC балансировку (4 одинаковых PPPoE канала) и VPN Server на микротик 4.3. вобщем проблема в банк клиенте. подключаю впн до микротик, через который должен подниматься ВПН до банка. ошибка 619. куда копать?
коннект идёт на 212.154.132.100 этот IP. какое правило прописать чтобы поднимался VPN До банка?
пробовал делать mark routing и отдельно заруливать на определённый канал - не помогло
пробовал делать аналогичные правила как на балансировке и рулить относительно dst адресса тоже не помогло
пробовал в ip firewall nat прописывать там тоже что то не помогло.
может кто подскажет что можно ещё попробовать?))) думал всё будет проще марк роутинг и в ip route пропишу и взлетит... но нет!
ЗЫ галка в подключении банка "использовать основной шлюз в удалённой сети" снята (в настройках tcp/ip)

мысли иссякли ) помогите)
PCC у меня рулится на основе src адресов.

ЗЗЫ сделал марк роутинг на этот ИП и прописал в IP route
dst-address=212.154.132.100/32 gateway=PPPoE1,PPPoE2,PPPoE3,PPPoE4 gateway-status=PPPoE1 reachable,PPPoE2 reachable,PPPoE3 reachable,PPPoE4 reachable
check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=bank-klient

всё равно не пашет)))

что ещё... прописал в ip firewall filter forward на dst-address 212.154.132.100 log
смотрю логи вижу:

12:50:21 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40
12:50:22 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto TCP (SYN), 12.0.0.2:2959->212.154.132.100:1723, len 28
12:50:22 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto TCP (ACK,PSH), 12.0.0.2:2959->212.154.132.100:1723, len 176
12:50:22 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto TCP (ACK,PSH), 12.0.0.2:2959->212.154.132.100:1723, len 188
12:50:22 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto TCP (ACK,PSH), 12.0.0.2:2959->212.154.132.100:1723, len 44
12:50:22 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:24 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:26 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40
12:50:27 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:31 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:32 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40
12:50:35 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:37 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40
12:50:39 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:43 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40
12:50:43 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:47 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:48 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40
12:50:51 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto 47, 12.0.0.2->212.154.132.100, len 37
12:50:52 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto TCP (ACK,PSH), 12.0.0.2:2959->212.154.132.100:1723, len 36
12:50:52 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto TCP (ACK,FIN), 12.0.0.2:2959->212.154.132.100:1723, len 20
12:50:54 firewall,info 123 forward: in:<pptp-smile> out:PPPoE3, proto ICMP (type 8, code 0), 12.0.0.2->212.154.132.100, len 40

вот ето во время коннекта к банку...

faust72rus
Сказали реализовать на базе Mikrotik

Приветствую всех.

Необходимо сделать Хотспот в кафе.

В идеале предполагалось вместе с чеком выдавать карточку на интернет, на которой будет указан логин и пароль для авторизации по http.

Вопрос в том, как можно на МТ генерировать логин/пароль и выводить их в файл хотя бы.

Спасибо.

Vovcik81
RouterOS - это в первую очередь роутер. функций по настолько продвинутой обработке веб-страниц у него нет и вряд ли появятся

Добавлено:
gooel
вроде как UserManager обладает подобным функционалом

gooel
Очень классное решение есть у В-Link включая печать чека с User и Password

поройся на dlink.ru

Люди, подскажите пожалуйста, поддерживает миротик (версия 2.9.27) wifi карту CANYON CNP-WF511

Уважаемые знатоки, решил раздавать интернет в сеть через микротик, во время настройки возникла такая проблема.

Есть сеть, в сети
1) стоит DSL модем настроенный бриджем IP 192.168.66.167
2) на микротике создаю PPPOE соединение, прописываю роут 0.0.0.0/0 на полученный провайдером шлюз ip 194.158.203.233 , всё конектится вроде good, инет на микротике есть

Стоит вопрос как пустить этот интернет в сеть определённым пользователям по NAT.

Помогите пожалуйста начинающему админу

condor90

Цитата:

Стоит вопрос как пустить этот интернет в сеть определённым пользователям по NAT.

NAT

wwwwwww7

http://www.mikrotik.com/testdocs/ros/2.9/guide/driverlist.php

Вот весь список поддерживаемых устройств, посмотри там.

Добавлено:
condor90

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=ether1 src-address=list_ip

где list_ip - ip адреса которые нужно НАТить

ether1 - интерфейс который нужно имеет доступ в интернет и куда нужно отправлять пользователей, в твоем случаи это PPPoE интерфейс, который подключается через модем.

А как реализовать запуск скрипта сразу после загрузки микротика?

Добавлено:
Видимо примерно так

add comment="" disabled=no interval=4d3h name=schedule1 on-event=upmaxnet \
policy=reboot,read,write,policy,test,password,sniff,sensitive start-time=\
startup

mindusa
Сделайте обычный проброс VPN. Пусть банк-клиент сам поднимает VPN и коннектится к своему серверу, а Микротик будет просто роутером (брандмауэром).

ps. Client по-английски

vlh
Торренты много качают и по UDP, тоже блокировать надо. Страницей-двумя ранее я приводил работающие настройки против нового протокола uTP.
Это всё хорошо, пока юзеры шифрование траффика включать не начнут. Попробуйте применить такой способ:
В общем понадобилось наглухо запретить торрент трафик на микротике. После применения стандартного правила P2P в файрволе перестали работать анонс запросы и стал блокироваться нешифрованный трафик. Однако по DHT utorrent прекрасно находил пиров и обменивался шифрованным трафиком. Поиски в инете по блокировке DHT не дали результатов, поэтому я написал своё регулярное выражение. Итак, в Layer7 Protocols создаем запись с именем DHT c регуляркой
код
--------------------------------------------------------------------------------
^d1:[a|r]d2:id20:.*:y1:[q|r]e
--------------------------------------------------------------------------------
Потом в файрволе фильтруем UDP протокол по совпадению с этим паттерном.
ЗЫ. Стандартное P2P правило блокирует запросы вроде announce?info_hash=, однако например rutracker.org сейчас выдаёт анонсы вида ann?info_hash=, поэтому для него анонсы не блокируются. По уму надо бы написать свой паттерн и для этого, но было лениво разбираться, поэтому тупо заблокировал диапазон bt.rutracker.org - bt5.rutracker.org.

Через МТ по WiFi раздаётса инет. Нужно доставить ещё одну WiFI карту. Как сделать так чтоб ей не пришлось присваивать IP, а подключённые к этой сети клиенты получали доступ через ip первой карты?

Lutvun
IP не назначайте, а просто соедините их в бридж =)

Iliasla
как это делаться? Искал, но не смог найти.

Lutvun

Добавляешь бридж
/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
comment="" disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s \
mtu=1500 name=bridge1 priority=0x8000 protocol-mode=none \
transmit-hold-count=6

Далее добавляешь каждый интерфейс в бридж:
/interface bridge port
add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto \
horizon=none interface=ether4 path-cost=10 point-to-point=auto priority=\
0x80
add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto \
horizon=none interface=ether3 path-cost=10 point-to-point=auto priority=\
0x80

После чего в адресах на нужном IP адресе меняешь интерфес карты на интерфейс бриджа и готово. Делай по примеру. Успехов.

Iliasla
gooel
Разобрался! Спасибо!

Iliasla
он и так сам поднимает)...
там схема работает
192.168.0.11 (клиентский комп с ВПН соединением до банка) -- 192.168.0.1 (модем на котором поднимается VPN до микротика) -- микротик (4 канала PCC) -- 212.154.132.100 (VPN сервер банка).

клиенту уже сказал пусть модем покупает... но блин уже просто любопытно разобраться))

mindusa
трабла в чём? вроде всё тривиально.

Добавлено:
в банк не звонил? может они тебя по маку\адресу отплёвывают?

Здравствуйте. Прошу помощи по настройке PCQ при имеющемся маскарадинге.

Адреса:

Код: # ADDRESS NETWORK BROADCAST INTERFACE
0 10.2.1.57/16 10.2.0.0 10.2.255.255 modem
1 192.168.1.203/24 192.168.1.0 192.168.1.255 ether4
2 192.168.0.2/24 192.168.0.0 192.168.0.255 host

Цитата:

маркируем пакеты и коннекшены

а вам вообще коннекшены надо маркировать? не проще сразу пакеты в forward'е в обе стороны? а то какая-то запутанная схема получается...


Цитата:

скорость не режется

а пакеты в очереди бегают? вешайте на global-out - не ошибётесь, если пакеты маркируются - они попадут в очередь

no-mark - это пакеты, которые не имеют метки вообще. т.е. те, которые не попали под ваши правила мангла