classic.ISPforum.cz

Ahoj, hral jsem si se zakazem FB na Mikrotiku, s tim ze funkcni reseni se me jevi pres Layer7 kde se vyspecifikuje nejaky string treba i na Torrenty a funguje to.

Problem nastal kdyz chci toto pravidlo specifikovat na urcite rozsahy adres, vzal jsem tedy Mangle, udelal markovani paketu a rekl ze ze zdroje XY se markuje provoz ktery vyhovuje Layer7 pravidlu.

Pak jsem do Filtru pridal DROP pravidlo.

No ale ted jsem narazil na to ze Mangle nerespektuje ty Source IP a blokuje pro vsechny Facebook, treba mam neco spatne ale ja uz to nevidim nize zasilam konfig

Diky za pomoc!

Layer7 konfig
==================
facebook ^.+(facebook.com).*$

Mangle konfig
==================
2 ;;; No Facebook markovani
chain=prerouting action=mark-packet new-packet-mark=no-facebook passthrough=yes src-address=A.B.C.X/24 layer7-protocol=facebook

3 ;;; No Facebook markovani
chain=prerouting action=mark-packet new-packet-mark=no-facebook passthrough=yes src-address=A.B.C.Y/27 layer7-protocol=facebook

Filter konfig
==================
1 X ;;; No Facebook dopoledne
chain=forward action=drop packet-mark=no-facebook time=9h-11h30m,mon,tue,wed,thu,fri

2 X ;;; No Facebook odpoledne
chain=forward action=drop packet-mark=no-facebook time=12h30m-18h,mon,tue,wed,thu,fri

Ahoj.
Já to dělám tak, že vytvořím address-list s IP adresami, které budou mít FB pomocí L7 zakázaný a pak už jen přidám do firewallu pravidlo
add action=drop chain=forward comment="facebook.com LAN" layer7-protocol=facebook.com src-address-list=Users
Jan

Hmm

tak to sice funguje ale je fakt divne ze se to aplikuje na vsechny adresy routeru...

korcaka píše:Hmm
tak to sice funguje ale je fakt divne ze se to aplikuje na vsechny adresy routeru...

Co znamená "se to aplikuje na vsechny adresy routeru"? U mě se toto pravidlo aplikuje pouze na IP adresy uvedené v konkrétním address-listu, proto jsem to tak nastavoval.

Na routeru je celkove routovany verejny rozsah rekneme 1.2.A.X/24 + 1.2.B.x/25 + 1.2.C.X/25 + 1.3.D.X/24

z tohoto rozsahu pouze prvni subnet nemuze v pracovni dobu na FB, nicmene pravidlo se aplikuje vsude a pak volaji klienti ze jim nejde FB

Ještě jednou jsem si přečetl Tvůj první post..
Podíval bych se, jestli to manglování nebere víc než jsi chtěl. Já mám kupříkladu na routeru vedle sebe 3 lokální subnety, ale filtrování FB provádím pouze pro některé IP adresy jednoho z nich, celodenně. V tomhle případě manglování nepoužívám, ale IP adresy, které mají být blokované mám zapsané jako jeden z address-listů a pak jen pravidlem ve firewallu dělám tomuto addres-listu "drop".
Ono by to určitě mělo fungovat i se správně nastaveným manglováním, ale pro můj účel mi to přišlo jednodušší takhle.

No jo ale divne je ze to nejde ani s nastaveni address listu, proste vydefinuju si jeden subnet /24 ten dam do address listu ale ten DROP se provede i na subnetech ktere nejsou v access listu

Narazil jsem mozna na banalni vec v te blokaci v rozsahu /24 je umisten i paterni DNS server a tedy zakaznikum ne ze se aplikuje pravidlo ale DNS nemuze resolvovat zaznam

Muj bug....

korcaka píše:Narazil jsem mozna na banalni vec v te blokaci v rozsahu /24 je umisten i paterni DNS server a tedy zakaznikum ne ze se aplikuje pravidlo ale DNS nemuze resolvovat zaznam

Muj bug....

Holt i mistr tesař se někdy utne...