Home »

Подобное правило ip...
 

Подобное правило iptables, для микротик.


bor13
Сообщения: 16
Topic starter
(@bor13)
Младший сисадмин
Присоединился: 2 года назад

Доброго времени всем, подходящей темы не нашел, пишу сюда, сори за это.
Собственно сам вопрос:
можно ли на микротик организовать подобное правило?
-A FORWARD -m string --algo bm --string "warning" -j DROP

Ответить
7 Ответов
7 Ответы
Zerox
Admin
(@zerox)
Присоединился: 7 лет назад

Honorable Member
Сообщения: 661

@bor13 да, можно примерно то же самое сделать. Гуглить по фразе "mikrotik layer7". Или вот у меня пример - https://serveradmin.ru/blokirovka-sayta-v-mikrotik/

Ответить
bor13
(@bor13)
Присоединился: 2 года назад

Младший сисадмин
Сообщения: 16

@zerox Не работает так. Да, забыл ведь сказать о цели сего. Есть сайт, хочется его просматривать, но он запрещён. Обращаешься к нему, в ответ заглушка провайдера. В dns имени содержится "warning". На centos с iptables работает. На микротик не знаю как реализовать.

Ответить
Zerox
Admin
(@zerox)
Присоединился: 7 лет назад

Honorable Member
Сообщения: 661

@bor13 а что должно происходить на микротике при заходе на этот сайт? Обход блокировок обычно не так реализовывается. Настраивается vpn соединение и все запрещенные ресурсы идут по другому маршруту, через vpn канал. Здесь одного фаервола недостаточно.

Ответить
bor13
(@bor13)
Присоединился: 2 года назад

Младший сисадмин
Сообщения: 16

@zerox На микротике не знаю. Но, если реализовать через iptables, то работает так. Заходим на сайт, получаем желаемый контент. Если без этого правила (-A FORWARD -m string --algo bm --string "warning" -j DROP), то так: Заходим на сайт, в ответ получаем заглушку http://warning.xx/xxxxx и сообщение "Уважаемые пользователи!
Мы приносим свои извинения, но доступ к запрашиваемому ресурсу ограничен." и т.д. Вопрос не так чтобы прямо очень принципиален. Просто хотелось еще раз убедиться, что микротик способен практически на всё. Но пока увы..

Ответить
Zerox
Admin
(@zerox)
Присоединился: 7 лет назад

Honorable Member
Сообщения: 661

@bor13 Прям магия какая-то. Обычное правило фаервола открывает доступ к заблокированному ресурсу. Технически не понимаю, как это может работать. Похоже нюанс реализации блокировки запрещенных сайтов конкретным провайдером. 

Чтобы вы понимали, данное правило iptables просто для вас блокирует все пакеты, в которых есть строка warning. Приведенный выше инструмент layer7 в микротике умеет делать то же самое.  

Ответить
bor13
(@bor13)
Присоединился: 2 года назад

Младший сисадмин
Сообщения: 16

@zerox Вот нагуглил по этому вопросу, но тема похоже осталась открытой.
https://forum.mikrotik.com/viewtopic.php?t=51619
Кстати, если сделать по layer 7, то нужный сайт вообще не откроется.
Очевидно, потому как string фильтрует по содержимому пакета (3 layer osi), ну а по седьмому отбрасывает вообще всё и заглушку и нужный сайт.

Ответить
bor13
(@bor13)
Присоединился: 2 года назад

Младший сисадмин
Сообщения: 16

@zerox Победил в общем. Настолько банально оказалось, что даже неловко. Заходим в правило, вкладка "Advanced", строка "content", вписываем искомое слово и вуаля. Спасибо, что не прошли мимо.. Ваш сайт вещь, читаю всегда.

Ответить