-
Bloqueio de sites por nome de usuário
Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.
Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.
O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;
Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.
Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?
Será que funciona legal?
-
Re: Bloqueio de sites por nome de usuário
Olha a nova versão do mikrotik agora tem como bloquear por nome no address list, então é só colocar lá na lista facebook que vai bloqueando todos ip's dinamicamente
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Olha a nova versão do mikrotik agora tem como bloquear por nome no address list, então é só colocar lá na lista facebook que vai bloqueando todos ip's dinamicamente
o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.
Citação:
Postado originalmente por
alextaws
Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.
Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.
O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;
Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.
Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?
Será que funciona legal?
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
-
Re: Bloqueio de sites por nome de usuário
Isso que pretendo fazer foi um pedido do próprio cliente, para não deixar funcionário navegando em rede social ao invés de esta trabalhando
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
Forneço, mais o próprio cliente me pediu isso
-
Re: Bloqueio de sites por nome de usuário
Bom sempre tenho clientes que pedem isto, o que respondo é que dentro do meu core não executo regra alguma de firewall e aconselho o cliente instalar um proxy
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
@AndrioPJ sempre usei proxy (squid ou lusca ) ambos bloqueia até https normal
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
Eu tinha feito assim
Criei a regra com FORWARD, selecionei a interface pppoe do cliente, em content inseri a palavra chave facebook e em ACTION coloquei um DROP.
Esta correto ou falta algo?
ela bloqueiou, mais com um tempo mesmo com a regra ativada o site volta a abrir
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
Eu tinha feito assim
Criei a regra com FORWARD, selecionei a interface pppoe do cliente, em content inseri a palavra chave facebook e em ACTION coloquei um DROP.
Esta correto ou falta algo?
ela bloqueiou, mais com um tempo mesmo com a regra ativada o site volta a abrir
Amigo cria uma address list com domínio www.facebook.com e outro com m.facebook.com, aí vc cria a regra de bloqueio em filer e pega essa lista...qualquer coisa pode me chamar no skype netvida1 que te ajudo
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo cria uma address list com domínio
www.facebook.com e outro com m.facebook.com, aí vc cria a regra de bloqueio em filer e pega essa lista...qualquer coisa pode me chamar no skype netvida1 que te ajudo
Vou testar, amanhã e lhe aviso.
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Bruno
@
AndrioPJ sempre usei proxy (squid ou lusca ) ambos bloqueia até https normal
1 - Não funciona qdo se usa proxy transparente OU para funcionar precisa instalar certificado do proxy nos computadores.
2 - Não faz bloqueio de ftp, sftp, ou mesmo http/https que passe por outra porta.
No caso, o nxfilter permite que você faça o bloqueio logo na consulta do cliente.
Independente se é ftp, sftp, http, https ou outro protocolo... Se o cliente fez uma consulta dns querendo saber o IP do site sex.com.br (exemplo), o nxfilter verifica se esse dominio está permitido para aquele cliente, e libera ou bloqueia.
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
Não exatamente.
como eu disse, dependendo do serviço, o google usa o mesmo IP em mais de um serviço.
Já peguei casos onde estava sendo bloqueado o youtube dessa forma, e certo dia o usuario não conseguia acessar o gmail.
Por fim desativamos essa regra e o usuario voltou a acessar o gmail
Citação:
Postado originalmente por
alextaws
Vou testar, amanhã e lhe aviso.
o usuario pode burlar facilmente.
basta usar algum proxy ou extensão de navegador, tal como ultrasurf.
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
1 - Não funciona qdo se usa proxy transparente OU para funcionar precisa instalar certificado do proxy nos computadores.
2 - Não faz bloqueio de ftp, sftp, ou mesmo http/https que passe por outra porta.
No caso, o nxfilter permite que você faça o bloqueio logo na consulta do cliente.
Independente se é ftp, sftp, http, https ou outro protocolo... Se o cliente fez uma consulta dns querendo saber o IP do site sex.com.br (exemplo), o nxfilter verifica se esse dominio está permitido para aquele cliente, e libera ou bloqueia.
ha sim transparente sem chance
sobre outras portas vc pode adicionar as portas pro proxy criadmo a acl port porem dificil imaginar a porta que vai ser usada
e gostei deste nxfilter porem da pra burlar facil kkk
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
Não exatamente.
como eu disse, dependendo do serviço, o google usa o mesmo IP em mais de um serviço.
Já peguei casos onde estava sendo bloqueado o youtube dessa forma, e certo dia o usuario não conseguia acessar o gmail.
Por fim desativamos essa regra e o usuario voltou a acessar o gmail
o usuario pode burlar facilmente.
basta usar algum proxy ou extensão de navegador, tal como ultrasurf.
Amigo o mikrotik vai criar uma lista dinamicamente para o domínio www.facebook.com, não por nome e sim domínio, já tenho a muito tempo testando aqui e o restante tudo funciona normal, menos o face é claro...rsrsrs
-
Re: Bloqueio de sites por nome de usuário
@Batmam, poderia dar instruções como posso fazer isso? ou então por onde começar?
-
Re: Bloqueio de sites por nome de usuário
Tô na rua agora, mas quando chegar em casa vou colar as regras aqui
-
Re: Bloqueio de sites por nome de usuário
Obrigado, vou ficar na espera
-
Re: Bloqueio de sites por nome de usuário
Tá aí as regras amigo
ip firewall filtetr:
add action=drop chain=forward dst-address-list=blofacebook dst-port=80,443 protocol=tcp src-address=192.168.3.231
ip firewall address-list:
add address=www.facebook.com list=blofacebook
add address=m.facebook.com list=blofacebook
--------
obs: Em src-address: ip do cliente que quer bloquear, pode bloquear a rede toda também se quiser! Ou alguns!
-
Re: Bloqueio de sites por nome de usuário
Vi agora, teria como bloquear por interface?
Testei aqui amigo e não funcionou.
-
Re: Bloqueio de sites por nome de usuário
Pessoal consegui dessa maneira.
add action=drop chain=forward comment=\
"BLOQUEIO DE SITE FACEBOOK (TESTE: USUARIO: xxx" \
connection-nat-state="" content=facebook dst-port=0-65535 in-interface=\
<pppoe-infocnet> out-interface=ether1 protocol=tcp
add action=drop chain=forward comment=\
"BLOQUEIO DE WHATSAPP (TESTE: USUARIO: xxx)" connection-nat-state=\
"" content=whatsapp dst-port=0-65535 in-interface=<pppoe-infocnet> \
out-interface=ether1 protocol=tcp
Único jeito que funcionou legal, agora me digam a opinião de vocês
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
Pessoal consegui dessa maneira.
add action=drop chain=forward comment=\
"BLOQUEIO DE SITE FACEBOOK (TESTE: USUARIO:
xxx" \
connection-nat-state="" content=facebook dst-port=0-65535 in-interface=\
<pppoe-infocnet> out-interface=ether1 protocol=tcp
add action=drop chain=forward comment=\
"BLOQUEIO DE WHATSAPP (TESTE: USUARIO:
xxx)" connection-nat-state=\
"" content=whatsapp dst-port=0-65535 in-interface=<pppoe-infocnet> \
out-interface=ether1 protocol=tcp
Único jeito que funcionou legal, agora me digam a opinião de vocês
ai na verdade ele vai bloquear qualquer coisa que contenha a palavra facebook
mais funciona o problema é quando tem muita regras destas a caixa não aguenta
-
Re: Bloqueio de sites por nome de usuário
@Bruno, exatamente, mais até eu encontrar uma solução mais compacta e prática vou trabalhando com essa, já que são no máximo 10 usuários com isso.
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
@
Bruno, exatamente, mais até eu encontrar uma solução mais compacta e prática vou trabalhando com essa, já que são no máximo 10 usuários com isso.
eu uso proxy pra isto, mais se vc colocar facebook.com não limitaria mais as palavras ?????
-
Re: Bloqueio de sites por nome de usuário
No caso Bruno o único interessa é bloquear facebook e whatsapp, tentei por esses dois nomes na mesma regra, separando por espaço, mais não funcionou, só funcionou com uma regra para cada nome, até lá eu encontrar outra forma melhor ou a quantidade de usuários solicitando isso, vou deixar assim.
É um cliente corporativo
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
No caso Bruno o único interessa é bloquear facebook e whatsapp, tentei por esses dois nomes na mesma regra, separando por espaço, mais não funcionou, só funcionou com uma regra para cada nome, até lá eu encontrar outra forma melhor ou a quantidade de usuários solicitando isso, vou deixar assim.
É um cliente corporativo
sim mais testa colocando no facebook.com não so facebook
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Bruno
sim mais testa colocando no facebook.com não so facebook
vo testar aki
-
Re: Bloqueio de sites por nome de usuário
Funciona também, mais eu retirando o .com, o bloqueio daria a qualquer site que contenha apenas a palavra facebook
-
Re: Bloqueio de sites por nome de usuário
testei aki ele bloqueia o facebook.com mais o pt-br.facebook.com não kkkkk mesmo colocando apenas facebook
-
Re: Bloqueio de sites por nome de usuário
mais você colocando em content "facebook.com"
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
mais você colocando em content "facebook.com"
so facebook
fiz por layer 7
kkk
ai funcionou
^(.*)(facebook.com)(.*)\$ ou ^(.*)(facebook)(.*)\$
-
Re: Bloqueio de sites por nome de usuário
por l7 se vc colocar facebook nem se pesquisar no google a palavra facebook abre nem o google kkkk ai com facebook.com bloqueia o dominio
eu criei tanto dst como src
-
Re: Bloqueio de sites por nome de usuário
Poderia postar sua configuração? vou testar
Como posso acrescentar mais de uma palavra dentro da regex, separada por |?
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
Poderia postar sua configuração? vou testar
Como posso acrescentar mais de uma palavra dentro da regex, separada por |?
^(.*)(facebook|whatsapp)(.*)\$
a regra simples
interface in vc coloca seu cliente se for pppoe layer7 vc escolhe a expressão que vc criou e dropa
o mesno na interface out
se for por ip ai vc usa dst address e src address
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
Citação:
Postado originalmente por
Bruno
ha sim transparente sem chance
sobre outras portas vc pode adicionar as portas pro proxy criadmo a acl port porem dificil imaginar a porta que vai ser usada
e gostei deste nxfilter porem da pra burlar facil kkk
Depende...
Alguns diriam que basta colocar um dns manualmente na maquina.
porem, basta adicionar uma regra no firewall interceptando toda requisição DNS do usuario que não for com destino ao nxfilter.
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
Depende...
Alguns diriam que basta colocar um dns manualmente na maquina.
porem, basta adicionar uma regra no firewall interceptando toda requisição DNS do usuario que não for com destino ao nxfilter.
verdade
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Bruno
^(.*)(facebook|whatsapp)(.*)\$
a regra simples
interface in vc coloca seu cliente se for pppoe layer7 vc escolhe a expressão que vc criou e dropa
o mesno na interface out
se for por ip ai vc usa dst address e src address
Funcionou, desse forma, mais ao invés da interface, defini um ip fixo pro cliente, e atribui a esse IP, pois ao escolher interface, tenho problemas quando o cliente desliga a CPE dele e liga novamente.
-
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.
Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.
O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;
Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.
Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?
Será que funciona legal?
Simples coloca um PC firewall no cliente efetuando autenticação no seu provedor e faz o bloqueio dos sites que o cliente solicitar no PC firewall. PfSense é ótimo para esse problema seu. E cobra a empresa por esse serviço que não está diretamente associado ao fornecimento de link internet para o cliente.
