Фильтрация HTTPS трафика в сети

Блин, все сделал как в инструкции, правило загнал выше всех даже... ничего не работает. Люди как ходили так и ходят по сайтам...

 

Денис Друженков, а для youtube или gmail можно такое попробовать? Гугл, сцуко, всё верно настраивает с точки зрения TLS и "нового" SSL. А там, вроде, и заголовки не идут в открытом виде. Мне сейчас предстоит подобными фильтрами обложить большую сеть, хотелось бы увидать рабочий конфиг

 

/ip firewall mangle
add action=mark-connection chain=prerouting comment="google" connection-mark=no-mark dst-port=53 layer7-protocol=google new-connection-mark=google_conn passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=google_conn new-packet-mark=google_packet passthrough=yes

/ip firewall filter
add action=drop chain=forward packet-mark=google_packet
add action=drop chain=input packet-mark=google_packet


/ip firewall layer7-protocol
add name=google regexp="^.+(google).*\$"

 

проверка

 

Спасибо! Сегодня буду гонять тесты

 

еще раз сделал,
поставил правило выше всех в фаерволе
перегрузил микротик
почистил dns
переподключил сетевое соединение
ФИГ. Сайты как открывались так и открываются...

Фу блин, а вот теперь поясните мне непонятливому, посему когда я убрал из DNS 8.8.8.8 и 8.8.4.4 и оставил только свой домен контроллер там все начало пахать

 

у вас DNS сервером кто в сети выступает ?

 

У меня и с гуглом работает блокировка. Скорей всего разместили правило блокировки на forward не там ....

 

Ну вообще сервер с ролью AD на нем роль DNS настроена.
я просто в микротике дополнительно указал еще 2 адреса DNS чтобы если домен в даун уйдет, интернет сохранился...

 

Ну дак я так и не могу понять, почему когда я добавляю в ip-> dns 8.8.8.8 и 8.8.4.4 фильтр перестает работаь?
И еще трабл, долго резолвит имена. крутит крутит и секунд через 3-5 выдает страничку.

 

/ip firewall filter
add action=drop chain=forward packet-mark=google_packet
add action=drop chain=input packet-mark=google_packet
Вот такие правила должны быть для блокировки, у меня ошибка была в листинге...

 

Правила в самом верху и всеравно все пашет мимо правил если добавить ДНС любые кроме DNS внутри сети (сервер с ролью днс и ад)

Для себя решил так: на сервере с ролью ДНС докинул днс сервера провайдера в серверы пересылки. Тогда все резолвится быстро и все работает.

 

Еще одна задачка нарисовалась, создал адреслисты, а они к этим правилам не применяются... Указываю в правилах в Src.addr этот лист адресов, а правило все равно блокирует всем нафик доступ к сайтам.

Чегото не могу включится... Пускаю свой внутренний комп с ролью DNS мимо правил адреслистом - у всех начинают запрещенные сайты открываться, закрываю его - ничего не открывается если кеш почистить....
Так не пойдет... Получается мы блокируем резолв на dns сервере. У нас никому из людей не помешает вбить свой DNS сервер внешний и спокойно резолвить нужные сайты. Не могу понять при чем тут тогда блокировка сайтов...

 

/ip firewall nat
add action=redirect chain=dstnat comment="Only MikroTik DNS in LAN" dst-port=53 protocol=udp

 

Хорошо, а как решить вопрос с adress list?
надо начальству то дать доступ...

И еще, ктото мне говорил, что както можно отслеживать чтобы в офисе не подключали роутеры, хотспотами в 10-ке не пользовались...

 

надо смотреть в сторону TTL, так йота в своё время защищалась, реализовывать на микроте не пробовал
Про листы - в Src.addr или таки в Src.addr.list?

 

У меня в микротике в Adress lists забиты листы с нужными диапазонами, кого блочить.
В правилах указываю в Src address этот лист, не работает... все равно блочит всем.
Опятьже прикол в чем: у меня внутри сети сервер с ролью AD и DNS, предположим 192.168.140.2, шлюз 192.168.140.1,
если заблочить сервер с ролью ДНС, то все работает, все блокируется, если я в адреслисте убирают с блока ип ДНС сервера в правиле, у всех все начинает открываться...

 

У вас трафик, скорей всего мимо микротика бегает, сразу на ваш ДНС...На клиентах какой IP в DNS ?

 

Да вроде его ипешник как шлюз и как днс выдается.
В микротике в днс серверах указан единственный ип серевера с ролью днс

 

дайте конфиги мангл, фильтр