Друзья, всем дня! Вопрос будет в самом конце) Роутер А имеет статик ip и 2 опубликованных порта в wan Роутер Б имеет подключение L3 к роутеру А и ip камеру в локалке. Порт форвардинг в wan отсутствует Маршрутизация до ip камеры: 89.223.43.1**:80,8000 А -> L3 tunnel over internet -> Б -> 192.168.1.100:80,8000 Есть правила нацеленные на сбор dst адресов в цепочке "от камеры" по следующим критериям в L7 add comment="hik ban" name="Hik analize & ban" regexp="^.+(Unauthorized|401|Authentication Error).*\$" Отбор dst адресов add action=add-dst-to-address-list address-list="Hik auto ban" address-list-timeout=8w4d chain=forward comment="hik unauthorize login collect" dst-address=!192.168.1.0/24 layer7-protocol="Hik analize & ban" Добавление адресов в лист add action=reject chain=input comment="hik unauthorize login ban" dst-address-list="Hik auto ban" in-interface=ether1 reject-with=icmp-network-unreachable реакция На роутере А (где опубликованы порты) лист по критериям l7 наполняется адресами. Ок На ротере Б (где нет открытых портов) лист наполняется так же, но адреса разные. Значит косяк в firewall, так? Все фильтры роутер А Спойлер: тыц add action=drop chain=input comment="drop invalid input" connection-state=invalid add action=add-dst-to-address-list address-list="Hik auto ban" address-list-timeout=8w4d chain=forward comment="hik unauthorize login collect" dst-address=!192.168.1.0/24 layer7-protocol="Hik analize & ban" add action=reject chain=input comment="hik unauthorize login ban" dst-address-list="Hik auto ban" in-interface=ether1 reject-with=icmp-network-unreachable add action=accept chain=input comment="Allow Btest" dst-port=2000 in-interface=ether1 protocol=tcp add action=accept chain=input comment="allow established from wan" connection-state=established in-interface=ether1 add action=accept chain=input comment="allow related from wan" connection-state=related in-interface=ether1 add action=accept chain=input comment="allow icmp from wan" in-interface=ether1 protocol=icmp add action=accept chain=input comment="allow remote winbox" dst-port=8291 in-interface=ether1 protocol=tcp add action=accept chain=input comment="accept osfp for all ppp" in-interface=all-ppp protocol=ospf add action=accept chain=input comment="allow l2tp tunnel" dst-port=1701 in-interface=ether1 protocol=udp add action=drop chain=input comment="drop all from wan" in-interface=ether1 log-prefix="drop all from wan" add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 add action=drop chain=forward comment="drop forward invalid" connection-state=invalid Все фильтры роутер Б Спойлер: тыц add action=drop chain=input comment="drop input invalid" connection-state=invalid add action=add-dst-to-address-list address-list="Hik auto ban" address-list-timeout=8w4d chain=forward comment="hik unauthorize login collect" dst-address=!192.168.1.0/24 layer7-protocol="Hik analize & ban" add action=add-dst-to-address-list address-list="igmp collect bad dst" address-list-timeout=0s chain=input comment="igmp collect bad dst" dst-address=!233.166.172.0/24 in-interface=ether1 protocol=igmp add action=add-dst-to-address-list address-list="igmp collect" address-list-timeout=0s chain=input comment="igmp collect" in-interface=ether1 protocol=igmp add action=accept chain=input comment="accept osfp for all ppp" in-interface=all-ppp protocol=ospf add action=reject chain=input comment="hik unauthorize login ban" dst-address-list="Hik auto ban" in-interface=ether1 reject-with=icmp-network-unreachable add action=reject chain=forward comment="drop cdn ip list dst" dst-address-list=cdn protocol=tcp reject-with=tcp-reset add action=drop chain=forward comment="drop stat snif ip list dst" dst-address-list="stat snif" add action=accept chain=input comment="accept igmp from wan" in-interface=ether1 protocol=igmp add action=drop chain=input comment="drop bogon" in-interface=ether1 src-address-list=BOGON add action=accept chain=forward comment="accept forward igmp to lan" dst-address=233.166.172.0/24 dst-address-list="igmp group dst" dst-port=1234 protocol=udp add action=accept chain=input comment="accept ICMP" protocol=icmp add action=accept chain=input comment="accept established,related" connection-state=established,related add action=drop chain=input comment="drop all from WAN" in-interface=ether1 log-prefix=2222222222222222 add action=drop chain=forward comment="drop forward invalid" connection-state=invalid add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
Вчера заметил в накопленных адресах ip dns провайдера, а еще и ip принтера который вообще сидит за 2 туннелями с ospf от роутера Б. Это он широковещательные запросы делает?
Друзья, всем дня! Что я делаю не так? /ip firewall filter add action=drop chain=forward dst-address-list=youtube.com /ip firewall address-list add address=youtube.com list=youtube.com и без вопросов захожу на ютуб.
Тоже самое из всех браузеров. Пока удается заблокировать по критерию content:youtube По ip адресам ни как. Даже если добавить youtube.com в static dns, все равно работает)
Доброго времени суток! Создал правила в Firewall (add action=drop chain=input comment="Drop ALL wan" connection-state=new in-interface=wan) и обратил внимание на то, что "Bytes" увеличивается каждые 2 секунды. Включил лог чтоб посмотреть. И хотелось бы получить совета, что это?
Мне кажется что вся загвоздка в протоколе https который использует youtube (Как известно, «посмотреть» https-url без раскрытия сертификата, т.е. по сути его подмены, нельзя). Либо попробовать прописать все ip адреса которые использует youtube в Address list.
Вообще похоже на работу протокола DHCP, только как он к вам прилетает на WAN для меня загадка. Port 67 Bootps Port 68 Bootpc
Если Layer7 привольно настроен, то он блочит и https, т.к. он заблокирует все запросы к данному ресурсу до установления сессии https. Т.к. как минимум будет запрос DNS по UDP 53 порт, который будет заблокирован.
Дык в с этого все и началось) nslookup youtube.com Address: 127.0.0.1 с хоста к ройтеру (запись в static dns присутствует) ---------------------------------------------------------------------------------------- 2a00:1450:4010:c0b::5b 173.194.222.136 173.194.222.190 173.194.222.93 173.194.222.91 с хоста через ройтер к dns провайдера (запись static dns отсутствует) ---------------------------------------------------------------------------------------- : рut [:resolve youtube.com server=89.223.47.133] 173.194.221.91 с ройтера к dns провайдера ---------------------------------------------------------------------------------------- при этом add action=add-dst-to-address-list address-list=youtube.com address-list-timeout=0s chain=forward content=youtube youtube.com 173.194.222.198 youtube.com 173.194.221.198 такая вот... Ситуация)
Блокировка youtube от Janis Megis (MikroTik, Latvia) - MUM 2017 /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*\$" add name=facebook regexp="^.+(facebook).*\$" /ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet /ip firewall filter add action=drop chain=forward packet-mark=youtube_packet add action=drop chain=input packet-mark=youtube_packet
А кто вам мешает вместо youtube поставить noblockme или подобные ? Не забудьте еще про VPN сервисы, которые расширением в браузер можно установить... Вообще что-то блокировать, мне кажется, это тупиковый путь, лучше логировать )
