Блокування сайтів і настройка батьківського контролю в роутері MikroTik

Потреба в блокуванні шкідливого контенту була, і залишається однією з основних потреб для поліпшення безпеки мережі. А зі зменшенням віку користувачів, блокування «дорослого» контенту стала актуальна не тільки для офісу, а і для домашньої мережі.

У даній статті буде розглянуто кілька способів блокування контенту, як веб сайтів, так і додатків в цілому. В даному прикладі ми не будемо приділяти увагу детальному налаштуванню маршрутизатора, а розглянемо тільки окремі компоненти в межах тематики даного матеріалу . (Приклад налаштування обладнання торгової марки MikroTik ви зможете знайти в статті Базова налаштування маршрутизатора MikroTik https://deps.ua/knowegable-base-ua/primery-tehnicheskih-reshenij/66995.html ). У даній статті ми розглянемо три методи блокування. Ці методи можна застосовувати на пристроях торгової марки MikroTik під управлінням операційної системи RouterOS версії не нижче 6.30.

1. Чорний список адрес (Blacklist)

Раніше для блокування веб сайтів по протоколу HTTP, використовувався механізм Proxy. Але з переходом на шифрований протокол HTTPS, механізм Proxy став неактуальним, принаймні до його модернізації використовувати його безглуздо. І для блокування контенту ми скористаємося фільтром firewall, але ми не будємо створювати для кожного веб сайту окреме правило, а блокувати список адрес. Для створення такого механізму нам буде потрібно виконати два етапи.

Етап перший. Створюємо список веб сайтів які потрібно заблокувати: Головне меню - IP - Firewall вкладка Address Lists і натискаємо кнопку «+» для створення запису . У рядку Name даємо ім'я нашому списку, в нашому випадку «Blacklist». Далі в рядку Addresses вводимо домен сайту який будемо блокувати. А в рядку Timeout - можна вказати час дії запису, після закінчення якого запис буде автоматично видалений, якщо запис буде постійний, то цей рядок залишаємо не заповнений. Далі натискаємо кнопку «OK» і запис з'являється в нашому списку. Для створення наступного запису, знову натискаємо кнопку «+», і так для кожного веб сайту.


Для прискорення процесу можна скористатися терміналом: Головне меню - Terminal і вводимо наступну команду : « / ip firewa ll address-list add address = www.usb.com list = Blacklist » - де Blacklist - це назва нашого списку веб сайтів, а сайт www.usb.com обраний в якості прикладу шкідливого сайту.


Створення списку адрес для блокування
1 етап - Створення списку адрес для блокування. Скрін 1
Створення списку адрес для блокування - Скрін 2
1 етап - Створення списку адрес для блокування. Скрін 2

Етап другий: Наступним етапом буде безпосереднє створення фільтруючого правила. Гланоє меню - IP - Firewall вкладка Filter Rules натискаємо кнопку «+» для створення правила.

Створення заборонного правила
2 етап - Створення заборонного правила

Налаштовуємо правило в такий спосіб: (для тих хто ще не знайомий з правилами firewall і навіщо вони потрібні, раджу прочитати статтю «Налаштування обладнання MikroTik» розділ «Базові правила Firewall MikroTik»).

Вкладка General : Chain - forward

Вкладка Advance : Dst . Address List - Blacklist ( тут ми як адресу призначення підставляємо створений нами раніше список сайтів, і якщо назва сайту на який користувач відправив запит співпаде з назвою сайту в списку, то з цим з'єднанням буде виконано дію яка буде налаштована у вкладці Action )

Вкладка Action : Action - reject , Reject With - icmp network unreachable ( буде виконуватися наступна дія - запит буде відхиллено тому що мережа недоступна. На відміну від дії «drop», ця дія проінформує браузер про неможливість з'єднання, і браузер перестане надсилати запити на встановлення з'єднання. В результаті це дозволить зменшити навантаження на процесор).Натискаємо кнопку «ОК» і провело готове.


ВАЖЛИВО!!! У разі якщо у вас вже існують правела firewall , наше правило по блокування веб сторінок потрібно перенести в початок списку, інакше воно не буде спрацьовувати.


Налаштування заборонного правила - Скрін 1
2 етап - Налаштування заборонного правила. Скрін 1
Налаштування заборонного правила - Скрін 2
2 етап - Налаштування заборонного правила. Скрін 2
Настройка запрещающего правила - Скрін 3
2 етап - Налаштування заборонного правила. Скрін 3

2. Блокування за допомогою DNS

Другий метод більш практичний і швидкий, так як роботу з пошуку і актуалізації шкідливих сайтів займається стороння компанія. На просторах інтернету можливо знайти багато різних компаній, але я свій вибір зупинив на компанії Norton, ця компанія надає послугу з використання своїх DNS серверів. Що не маловажно це швидкий і абсолютно безкоштовний сервіс для приватного використання в домашній мережі. На вибір пропонується три варіанти:

Політика

IP- адреси

Опис

Політика 1. Безпека

199.85.126.10

199.85.127.10

Блокує всі шкідливі програми, які можуть розміщуватися сайтами, а також фішингові і шахрайські сайти.

Політика 2. Безпека + порнографічний вміст

199.85.126.20

199.85.127.20

Крім блокування небезпечних сайтів, також забороняє доступ до сайтів, що містять матеріали сексуальної спрямованості.

Політика 3. Безпека + порнографічний вміст + інше

199.85.126.30

199.85.127.30

Ідеально підходить для сімей з малолітніми дітьми. Крім блокування сайтів з небезпечним і порнографічним вмістом, запобігає доступ до сайтів, на яких розміщені матеріали, пов'язані з контентом для дорослих, абортами, алкоголем, злочинами, культами, наркотиками, азартними іграми, нетерпимістю, сексуальної спрямованістю, самогубствами, тютюнопалінням та насильством.

Отже вибрали DNS і прописуємо його в нашому маршрутизаторі: Головне меню - IP - DHCP Server вкладка Networks , вибираємо існуючу мережу подвійним кліком провалюємось в неї і заповнюємо рядок DNS Server. Натискаємо «ОК», готово.

Блокування за допомогою DNS - Скрін 1
Блокування за допомогою DNS. Скрін 1
Блокування за допомогою DNS - Скрін 2
Блокування за допомогою DNS. Скрін 2

І тепер при переході на шкідливий сайт ми будемо отримувати повідомлення про блокування даного ресурсу.

Блокування за допомогою DNS - Скрін 3
Блокування за допомогою DNS. Скрін 3

Важливо!!! Для того щоб уникнути ситуації, коли користувач вручну прописує на своєму пристрої DNS сервера, потрібно змінити параметри ARP записів на MikroTik. Для цього нам потрібно виконати всього одну дію.


Робимо зміну налаштувань на інтерфейсі до якого підключені користувачі: Головне меню - Interfaces вкладка Interface , так як всі порти в нашому прикладі об'єднані в один Bridge вибираємо його . Подвійним кліком заходимо на Bridge , вкладка General змінюємо параметри ARP на reply - only і натискаємо кнопку «ОК».

Блокування за допомогою DNS - Скрін 4
Блокування за допомогою DNS. Скрін 4

Після виконання цих простих дій користувачі які будуть статично прописувати IP або DNS адреси на своєму пристрої, просто не будуть підключатися до мережі.

3. Блокування додатків

У тому випадку, коли потрібно заблокувати не доступ до сайту, а додаток, якій встановлено на пристрої. Жоден з вище перерахованих варіантів не спрацює, в цьому випадку ми можемо скористатися блокуванням на рівні додатку (Layer 7 Protocols). Як приклад , заблокуємо соціальну мережу Facebook. Головне меню - IP - Firewall, вкладка Layer 7 Protocols. Натискаємо кнопку «+» і створюємо фільтр з назвою facebook та в полі Regexp вводимо слово, за яким буде здійснюватися фільтрація, в нашому випадку це слово - facebook , натискаємо кнопку «ОК».

Блокування соціальної мережі Facebook на роутері Mikrotik
Блокування соціальної мережі Facebook на роутері Mikrotik

Якщо створити звичайне правило фільтрації в Firewall то весь трафік без розбору буде проходити через це правило що призведе до великого навантаження на центральний процесор маршрутизатора і збільшить затримку (в мережі з невеликою кількістю користувачів пряме правило фільтрації не сильно вплине на працездатність пристрою і мережі в цілому). Для того що б полегшити обробку, слід промаркувати трафік і вже після цього його фільтрувати. Отже:

1. Маркуємо трафік. Головне меню - IP - Firewall, вкладка Mangle, натискаємо «+» для створення правила:

Маркування трафіку
Маркування трафіку

Створюємо правило маркування з'єднання:

Вкладка Gwneral : створюємо ланцюжок Chain - prerouting , вибираємо Connection Mark - no-mark

Вкладка Advanced : вибираємо раніше створений нами фільтр Leyer 7 Protocol - facebook

Вкладка Action : Action - mark connection , і задаємо ім'я New Connection Mark - facebook _ connection , натискаємо кнопку «ОК», ми створили маркування з'єднання, знову натискаємо кнопку «+» і додаємо правило для маркування пакетів.

Створення правила маркування з'єднання
Створення правила маркування з'єднання

Створюємо правило маркування пакетів:

Вкладка Gwneral : створюємо ланцюжок Chain - prerouting , і вибираємо створене нами значення Connection Mark - facebook_connection

Вкладка Action : Action - mark packet, задаємо ім'я промаркірованим пакетам New Connection Mark - facebook _ packet , натискаємо кнопку «ОК » і переходимо до другого етапу.

Створення правила маркування пакетів
Створення правила маркування пакетів

2. Створюємо правила для блокування. Головне меню - IP - Firewall, вкладка Filter Rules. Натискаємо кнопку «+» і створюємо правила фільтрації. ( Не забуваємо перемістити правило в вгору для коректної роботи)

Створення правила для блокування
Створення правила для блокування

Створюємо два ланцюжки правил forward і input :

Ланцюжок forward:

Вкладка Gwneral: Chain - forward, Packet Mark - facebook_packet

Вкладка Action : Action - drop , тиснемо «ОК».

Ланцюжок input:

Вкладка Gwneral : Chain - input , Packet Mark - facebook_packet

Вкладка Action : Action - drop , тиснемо «ОК».

Створення двох ланцюжків правил forward та input - Скрін 1
Створення двох ланцюжків правил forward та input. Скрін 1
Створення двох ланцюжків правил forward та input - Скрін 2
Створення двох ланцюжків правил forward та input. Скрін 2

Отже в даній статті ми розглянули, як можна заблокувати доступ до неблагонадійним ресурсів тим самим піднявши безпеку власної мережі. У вищеописаних прикладах правила фільтрації застосовувалися на загальну мережу, також їх можна застосовувати і для виділеної підмережі або певної IP адреси.

Схожі матеріали:

На складі нові надходження Wi-Fi роутерів Ruijie та Huawei

Поспішаємо повідомити, склад поповнився новими моделями Wi-Fi роутерів ТМ Ruijie та Huawei.

DEPS починає продаж обладнання Ubiquiti

Компанія DEPS, провідний дистриб'ютор на ринку України, починає постачати продукцію світового лідера з виробництва недорогих мережевих рішень для провайдерів бездротового доступу, компанії Ubiquiti Networks (UBNT).

Отриманий сертифікат УкрСЕПРО на комутатори Mikrotik CRS212-1G-10S-1S + IN

Компанія DEPS отримала сертифікат відповідності УкрСЕПРО на 12 портові керовані комутатори Mikrotik CRS212-1G-10S-1S + IN 3-го рівня з можливістю маршрутизації на всіх портах.

Apple припиняє випуск роутерів

Компанія Apple офіційно оголосила про припинення випуску роутерів після того як вже більше року тому відповідний підрозділ було розформовано.

Продажі маршрутизаторів і комутаторів оновили рекорд

У четвертому кварталі 2018 року виручка виробників маршрутизаторів і комутаторів Ethernet оновила рекорд, перевищивши $12 млрд. За весь рік доходи постачальників телекомунікаційного обладнання перевищили $44 млрд, що на 4% більше, ніж в 2017 році, повідомляють аналітики компанії Synergy Research.

Останні новини:

Запрошуємо зустрітись на Українській конференції операторів та сервісів (УКОС), яка відбудеться 11 - 14 квітня у захоплюючому Буковелі!

Компанія DEPS взяла участь у Smart Building Forum, який відбувся у Києві 20 – 21 березня.

У 2023 році всього троє постачальників телеком-обладнання досягли зростання показників, тоді як загалом по ринку спостерігалося 5-відсоткове зниження. Одним із них став лідер галузі Huawei, попри спроби влади США та інших країн обмежити доступ китайського гіганта до ринків збуту та новітніх напівпровідникових технологій. Компанія змогла не лише зберегти, а й зміцнила свої позиції, повідомляють аналітики Dell'Oro Group.

На склад надішла довгоочікувана поставка інструментів ТМ Ripley.

Світовий ринок персональних комп'ютерів повернеться до зростання після сильного спаду у 2023 році та найближчими роками залишиться на підйомі. Сприяти такій ситуації мають замовлення корпоративних користувачів та зростання популярності штучного інтелекту, зазначають аналітики International Data Corporation.

Ми приєдналися до бойкоту російської та білоруської продукції. Слава Україні!

We joined the boycott of russian and belarusian products. Glory to Ukraine!!

прапор України