Whitelist сайтов без WebProxy

Тема в разделе "Общие вопросы", создана пользователем Ovcharka, 12 дек 2018.

  1. Ovcharka

    Ovcharka Участник

    Друзья, добрый вечер,

    собственно, вопрос: возможен ли Whitlite сайтов на Микротике без перехода в режим WebProxy?

    Нужно Интернет в школе настроить, чтобы только несколько сайтов открывалось. Подскажите, пожалуйста.

    Заранее большое вам спасибо!
     
  2. Мышаня

    Мышаня Участник

    конечно можно. В /ip firewall address-list создаём лист с сайтами которые разрешены, а потом в разрешающем правиле forward на вкладке Advanced, указываем этот лист в поле dst. Address List
     
  3. Ovcharka

    Ovcharka Участник

    Мышаня
    Мышаня, спасибо большое,

    а можете пример хотя бы одной строчки дать для списка сайтов, которую нужно в /ip firewall address-list создать?

    Заранее большое Вам спасибо!
     
  4. Мышаня

    Мышаня Участник

    Читать целиком! Внизу самое важное!
    например пишем в терминал
    /ip firewall address-list
    add address=mail.ru list=Allow
    allow_list.png
    В результате получаем вот такую картинку в винбоксе , в красном прямоугольнике, образовался лист ip адресов из ДНС, по которым висит mail.ru

    Дальше пишем правило /ip firewall filter
    fw_rule1.png
    В этой вкладке мы пишем что за цепочка

    А ниже - что применяется для всех адресов кроме тех, что в списка Allow
    fw_rule2.png

    а тут - запрет forward
    fw_rule3.png

    Понимаем правило выше разрешающего forward правила и получаем только mail.ru в доступе

    НО! Так было бы слишком просто ;) На современных сайтах безумное количество содержимого, с других сайтов. С применением подобного простого решения, мы откатим вид Интернета в локальной сети до вида 1991-1995го годов.

    Думаю, идея ясна, надо только почитать и поизучать вопрос в этом направлении :)

    Чёрный список таким образом сделать можно. С белым - всё несколько сложнее.
     
  5. Cheredov

    Cheredov Новый участник

    Запрещающее правило, которое выше разрешающего - лишнее.
    Лучше предпоследним правилом делать action=reject with tcp-reset для tcp, а последним правилом дропать все остальное.
    Насчет содержимого из 90-х - добавьте в whitelist домены, с которых ваши сайты тянут библиотеки, картинки или ещё что-то нужное.
    А реклама и другой "современный" контент как раз наверно в школе и не нужен.