Всем привет. Ситуация такая, появилась необходимость заблокировать определенный ресурс(youtube.com), перепробовали кучу разных советов и что то как то без результатно. Далее попробовали еще один способ add action=reject chain=forward content=youtube.com disabled=yes protocol=tcp reject-with=tcp-reset src-address=\ 192.168.0.50 по началу отработал потом решили применить это правило к /24 сети, правило перестало отрабатывать, настроили опять данное правило для одного IP, не работает. Решили перезагрузить микротик и после перезагрузки правило заработало. Прошивка на микротике самая последняя, пробовали такое делать на разных моделях микротика. Ну и сам вопрос, это такая специфика работы фаервола или микротика что после добавления правил нужно перезагружать железку или это такой баг? пробовали # Добавляем список запрещенных сайтов с названием BlockedSites /ip firewall address-list add list=BlockedSites address=youtube.com disabled=no # Добавляем в фаервол правило блокировки сайтов из списка BlockedSites /ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment="BlockedSites" disabled=no данное правило не отрабатывало. А может оно не отрабатывало потому что мы не перезагружали устройство?
ip firewall mangle add chain=prerouting protocol=tcp tls-host=*youtube.com action=mark-connection new- connection-mark=youtube_conn passthrough=no ip firewall mangle add chain=prerouting protocol=tcp tls-host=*googlevideo.com action=mark-connection new-connection-mark=youtube_conn passthrough=no ip firewall mangle add chain=forward connection-mark=youtube_conn action=mark-packet new-packet-mark=y outube_packet passthrough=no ip firewall filter add chain=forward packet-mark=youtube_packet action=drop И будет Вам счастье!!!
Изменение правил фаервола это и есть ответ, что делать с перезагрузкой? я тоже перезагружаю, а бывает и по два раза в подряд, иначе добавленное правило не начинает работать. Что делать, упрощать?
Совет который дали выше работает без перезагрузки. Я конечно не гуру в микротик, я думаю что когда трафик маркируешь, то фаервол отрабатывает без перезагрузки. Если это не так пусть знатоки меня поправят.
Можете подробней рассказать? И как чистить "Connection Tracking" а также если есть правила Established Related как там чистить все коннекты, так чтоб они снова не появились сами откуда не возьмись. Просто с толкнулся сейчас с такой бедой, что сегодня написанные правила завтра могу не работать, при этом тестируется перезагружается несколько раз микротик и правила работают но на след день нет. Сейчас остановился т на таком маневре, если сделать резервную копию конфы, и загрузить ее в микротик сделать восстановление, вот тогда сразу видно что работает а что нет, и правильно ли написаны правила.
Покажите конфиг файрвола. Скорее всего где-то вы что-то делаете не так. Лезть в Connection Tracker приходится КРАЙНЕ редко.
