Jump to content
  • 0

Бяла листа в микротик за интернет страници (Whitelist)


msboy

Въпрос

Здравейте колеги !

От известно време се мъча да създам "бяла листа" в Микротик за зареждане само на 300-400 интернет страници и блокиране на всички други интернет страници. 

За блокиране на порно съдържание решението е ясно с OpenDNS или друг DNS, който ги блокира. Тук идеята е да се дропват сайтове за обувки, онлайн поръчки, поли, времето, новини и т.н.т. а да се зареждат само определени адреси , които са вкарани в тази бяла листа.

Пробвах с:

/ip firewall filter
add action=accept chain=forward dst-address-list="Allowed Websites" dst-port=80,443 protocol=tcp
add action=drop chain=forward dst-port=80,443 protocol=tcp

/ip firewall address-list
add address=www.abv.bg list="Allowed Websites"
add address=www.youtube.com list="Allowed Websites" и т.н.т

Този вариант работи т.е. реже всички останали сайтове но адресите, които са в бялата листа не се зареждат коректно, защото всеки сайт вътре в себе си има връзка с друг сайт или друга услуга на друг адрес. Например abv.bg началната се зарежда половинчато защото вътре в себе си има връзка със сума ти сайтове а те реално не са в бялата листа защото няма как да знам, кой сайт с колко други има връзка. И когато в даден момент се промени някой компонент от сайт в бялата лиса аз няма как да узная за това и пак ще има проблеми със зареждането.  Има ли решение на този проблем или е мисия невъзможна ?

 

Редактирано от msboy
грешка
Адрес на коментара
Сподели в други сайтове

14 отговори на този въпрос

Recommended Posts

  • 0
  • Администратор

Микрософт са го измислили това, работи като каптив портал дори.

Има си готов каталог са сайтове от цял свят по категории.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 1 час, 111111 написа:

Микрософт са го измислили това, работи като каптив портал дори.

Има си готов каталог са сайтове от цял свят по категории.

За Майкрософт визираш Azure ли? Доколкото разбирам везните клонят към това да си имаш собствен DNS запис или собствен DNS сървър. В България единственото което откривам е на www.cloudns.net ....поне аз не откривам друга фирма, която да предлага такава услуга. Как така не са се сетили да направят такава услуга (а има крещяща нужда от такава). Да кажем за 40-50 лв. на месец. би било приемливо и достъпно :) 

Редактирано от msboy
грешка
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

По скоро си направи свой си
https://pi-hole.net

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

То хубаво е ПиХол-чето, но кak процедирате, ако се ползва пример Firefox  и някой си активират DoH в него ... или пък си сетне Фоксипрокси към любимият си домашен рутер на него браузър ?

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

блоквам му DOH порта 😉

torch-dns-over-https-cloudflare.png.webp

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 34 минути, 111111 написа:

блоквам му DOH порта 😉

torch-dns-over-https-cloudflare.png.webp

 Да има лист, който може да се сваля със задача за блокиране , но сокса и прокситата си е трудно за пълно блокиране ! Просто искам да разбера кой какво ползва или каква комбинация от методи !

Адрес на коментара
Сподели в други сайтове

  • 0
преди 17 минути, JohnTRIVOLTA написа:

 Да има лист, който може да се сваля със задача за блокиране , но сокса и прокситата си е трудно за пълно блокиране ! Просто искам да разбера кой какво ползва или каква комбинация от методи !

Да разбирам ли,че няма унифициран метод със софтуер или хардуер да се осъществи цялостна блокировка и филтриране с бяла листа :) Какво правят корпоративните мрежи ми е много чудно където рестрикцията е на много високо ниво. И Cisco ли няма такова решение (хардуерно). Не се занимавам със Cisco и заради това питам ?

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 13 часа, msboy написа:

Да разбирам ли,че няма унифициран метод със софтуер или хардуер да се осъществи цялостна блокировка и филтриране с бяла листа :) Какво правят корпоративните мрежи ми е много чудно където рестрикцията е на много високо ниво. И Cisco ли няма такова решение (хардуерно). Не се занимавам със Cisco и заради това питам ?

Има, но за тази цел трябва да се ползва стена от рода на Sophos където в NAT правилата могат се вграждат различни policies, extensions, ulr groups, file types, aplications filters, content filters и тн. Шотовете са от Sophos XG 125, която сме ползвали по училищните програми. Стената работи страхотно, проблема е цената.

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 8 часа, Стоян Иванов написа:

Има, но за тази цел трябва да се ползва стена от рода на Sophos където в NAT правилата могат се вграждат различни policies, extensions, ulr groups, file types, aplications filters, content filters и тн. Шотовете са от Sophos XG 125, която сме ползвали по училищните програми. Стената работи страхотно, проблема е цената.

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

При блокиране на адреси или цели групи (порно, реклами, фейс и т.н.т)  сработват то това е ясно но когато се отреже целия трафик и се пуснат 10 адреса в бялата листа адресите от бялата листа не се зареждат коректно защото имат връзки с библиотеки, java скриптове и т.н.т с други сайтове. С pfsense и pi-hole не става. В понеделник ще се свържа с дистрибутора на Sophos и Sonicwall да видим какво ще кажат :)

Адрес на коментара
Сподели в други сайтове

  • 0

Ето и официален отговор от Netgate с Pfsense :

Цитат

Netgate systems would respond the same way since the whitelist links to other external resources fall outside of the whitelist. Unfortunately, we are unable to meet your needs.

 
Best regards,
 
Bob

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)

Хайде да е за всички скриптчето за DoH адресите :

/system script
add dont-require-permissions=no name=DOHipv4 source=" \
    \_ :if ( [/file get [/file find name=DOHipv4.txt] size] > 0 ) do={\r\
    \n   /ip firewall address-list remove [/ip firewall address-list find list\
    =DOHipv4]\r\
    \n   :global content [/file get [/file find name=DOHipv4.txt] contents] ;\
    \r\
    \n   :global contentLen [ :len \$content ] ;\r\
    \n   :global lineEnd 0;\r\
    \n   :global line \"\";\r\
    \n   :global lastEnd 0;\r\
    \n   \r\
    \n   :do {\r\
    \n         :set lineEnd [:find \$content \"\\n\" \$lastEnd ] ;\r\
    \n         :set line [:pick \$content \$lastEnd \$lineEnd] ;\r\
    \n         :set lastEnd ( \$lineEnd + 1 ) ;\r\
    \n         :if ( [:pick \$line 0 1] != \"#\" ) do={\r\
    \n        :local entry [:pick \$line 0 \$lineEnd ]\r\
    \n        :if ( [:len \$entry ] > 0 ) do={\r\
    \n           /ip firewall address-list add list=DOHipv4 address=\$entry\r\
    \n        }\r\
    \n      }\r\
    \n   } while (\$lineEnd < \$contentLen)\r\
    \n   }"
/system schedule
add interval=1d name="DoH servers list update" on-event="/tool fetch url=https\
    ://raw.githubusercontent.com/jpgpi250/piholemanual/master/DOHipv4.txt mode\
    =https \r\
    \n   :delay 10\r\
    \n/system script run DOHipv4"

 

Редактирано от JohnTRIVOLTA
  • Харесай 1
  • Благодаря 1
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

И не забравяйте 
 

/ip firewall filter
add action=drop chain=forward comment="block DoH" dst-address-list="DOHipv4" place-before=1

И бъдете сигурни какво правите

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.