classic.ISPforum.cz

Zdravím všechny,
mám takový problém (jsem začátečník), blokuji web stránky přes web proxy/access v mikrotiku,
funguje to bezvadně pokud však nemá ona zakázaná stránka https.
Př.
www.facebook.com, http://www.facebook.com, facebook.com zakazuje toť OK
pokud někdo do prohlížeče napíše https://www.facebook.com, tak ztránky fungují.

Je mi jasné že to jede po jiném protokolu 443 tuším a web proxy jede 80.
Proto to asi nejde zakázat ve web proxy, nebo ano?
Jen ještě podotýkám, že bych potřeboval někomu i povolit.

Díky za nějaké rady
Pol

s web proxy som sa nehral, ale ak som dobre videl, tak je tam vo vytváranom pravidle dst-port. Skúsil si tam dat 443?

Jedna s možností jak ho blokovat co jsem našel na netu je blokace přes firewall/adresslist, kam se napišou rozsahy IP adres a do firewal/filter se napíše pravidlo DROP. Když to chci někomu povolit, stačí přidat před to další pravidlo s accept.
( jeden z případných seznamů, ale asi bude potřeba ho doplnit dle aktuálnich adres)

/ip firewall address-list> print
# LIST ADDRESS
3 Facebook 66.220.144.0/20
4 Facebook 69.63.176.0/20
5 Facebook 69.171.224.0/19
6 Facebook 173.252.64.0/18
7 Facebook 204.15.20.0/22
8 Facebook 74.119.76.0/22

/ip firewall filter>
add chain=forward action=drop protocol=tcp dst-address-list=Facebook in-interface=LAN1

blokujem pres L7 vrstvu pres regexp ^.+(facebook.com).*$

Já též blokuju pomocí filtru L7 a funguje to spolehlivě, viz kolega výše

mužete mi někdo přesně prosím popsat co konkrétně toto L7 pravidlo blokuje? Respektive co je ta syntaxe s regexp? A jestli to zadrží i https facebook?

Mělo by to zadřžet všechny požadavky, zkus toto:



Všude, kde se objeví název uvedený v L7 tak se to zablokuje. Vypadá to že se stránka pořád načítá ale nikdy se nenačte. Docela dobře se s tím dá blokovat erotický a jinak nevhodný obsah.

Jinak se to dá blokovat ještě konkrétníma IP adresama, který FB používá (zjisti si IP adresy a dropni všechny požadavky)

Ale také to blokne vše, kde se objeví daný řetězec. Takže třeba přenos pošty (pokud není přenášena v POP3S/IMAPS/SMTPS), jakákolik jinou službu, nebo spojení, pokud v datech bude daný řetězec někde uveden.
Jinak možná lepší dát action=reject, ať uživatle nečeká.
Blokování přes IP rozsahy bude míň zatěžovat RB, u teho regexu to žere mnohem víc výkonu routeru (u blokování dle IP zase to žere výkon administrátora s udržováním IP listů).
Jinak oboje toto - bloklování přes IP i regex se dá snadno obejít použítím nějaké HTTPS proxiny, nicméně moulu to zastaví, poučený uživatel to ojebe (OK, velký čínský firewall také neblokne vše) a zoufalý závislák si pustí přistup na svém mobilu/notebooku přes 3G a podobné.

Normální firemní řešení je, že vůbec není možný forward paketů mezi LAN a WAN. Někde v DMZ je proxy server, klidně Squid, přístupy ven jsou možné jen přes něj. v logu mám kdo kam lezl (klient s eověřeuje proti proxině, tak že i vím, kdo ukomplu seděl), tka to můžu profiltrovat mnohem snadněji, včetně vnitřku HTTPS spojení. Ale chce to železo/prostor/elektriku/adminovací práci navíc....

Mě toto přijde, že to sice dost lidí používá, ale není to uplně nejšťastnější. Já bych potřeboval něco do škol (většinou Microsoftí AD, počítače pod správou domény), kde ovšem by byl například facebook blokován dle uživatelů. Ano zatím dám buď do DNSka facebook do pevných záznamů (user si nikdy nemůže změnit DNSka na PC protože k tomu nemá oprávnění a cizí PC nejsou v síti) nebo do dns záznamů na počítačí do hosts souboru. Ale někde je zase facebook potřeba protože i školy mívají vlastní facebook stránku a ta se musí spravovat. Ale kvuli blokaci facebooku rozjíždět proxy mi přijde jak kanon na vrabce. Jinak kdyby se někdo ptal proč se facebook blokuje, tak je to většinou na žádost rodičů a někdy i vedení.

Jistě, rozjiždět proxinu jen kvůli blokování facebooku je blbost. Spíše je to globálně používané řešení, kde jedna z úloh je ne/pustit někam na základě nějakých pravidel. Pokud má škola rozumné podmínky pro MS, úplně stejné jde dělat s Microsoft ISA, po novu Forefront TMG. A to včetně různých pravidel pro různé skupiny, dle členství ve skupinách, že pan ředitle může na porno a chovanci ústavu ne... A mám to i s logováním a dalším.
Spíše než blokování ve školách vidím, že na hodinách IT na základce učí děti, jak si založit účet na Facebooku a vyplnit, že jsou starší, ať jim to projde.

Pokud to řeším v routeru, tak raději prostředky blíže routeru, a to firewall na základě IP cílových bloků, než L7 pravidla, která občas mají nehezké vedlejší zmíněné efekty. Povoléné skupiny řešit tak, že některé VLANy (kde jsou připojeni chovanci) filtruji, chovatelé jsou v jiné VLAN, která může ven bez limitu...

Ahoj pánové, díky za poznatky, upozornění a tipy, pravdou je že L7 zatěžuje RB mnohem víc než IP list blokovaných adres. Já to prakticky nepoužívám na blokování sociálních sítí (byl to příklad) ale především na porno servery, kde to ta L7 docela úspěšně vyblokuje...

jak může L7 něco blokovat když je to HTTPS? přece by se neměla dostat k žádným datům když je to šifrovaný!!

Protože on neblokne data uvnitř HTTPS, ale ten L7 filter blokne i DNS dotazy na dané domény, pokud se forwardují skrz daný router.
A dále, dneska se začíná používat SNI, které řeší, že na jedné IP adrese může být víc různých certifikátů. Tam se prvně pošle po navázání TCP spojení ještě info, k jakému webu se chci připojit a dle toho se zahájí sestavování TLS spojení s daným certifikátem, takže cílovou doménu ještě vidíš volně a ten L7 filtr by to stopl (ale tohle zrovna asi facebook a spol nepotřebuje, tam ho sejme to bloknutí DNS).

Jinak filtrování nečeho uvnitř HTTPS je ve firemním prostředí zcela běžné řešení s použitím zmíněných proxy serverů.