Faz o seguinte na aba advanced em Content deixe somente facebook,nao ponha todo o endereço como facebook.com.
Tenta la.
Versão Imprimível
Como a discução aqui é como fazer e nao o por que fazer vou mostrar as regras
1 configurar web-proxy.
2 criar uma lista com tudo que pode e nao pode e quem pode
3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
4 criar uma lista de ip com nome de bloqueado no address list do nat
5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
regras abaixo para proxy funcionar
#
/ip firewall nat
add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
#
/ip firewall address-list
add address=192.168.1.20 comment=jose disabled=no list=bloqueado
#
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
serialize-connections=no src-address=0.0.0.0
/ip proxy access
add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
add action=deny comment=jose disabled=no dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
add action=deny disabled=no dst-port="" path=*.flv
add action=deny disabled=no dst-port="" path=*.avi
add action=deny disabled=no dst-port="" path=*.mp4
add action=deny disabled=no dst-port="" path=*.mp3
add action=deny disabled=no dst-port="" path=*.zip
add action=deny disabled=no dst-port="" path=*.rar
#ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.
Valeu pela ajuda deson!
Man como faço pra desbloquear o acesso para apenas 5 ips fixo?
Eu fiz do seguinte jeito: ip>>firewall>>address list>>sinal de + e criei uma nova com o nome "acesso liberado" e em address eu coloquei os ips que não vão passar pela regra na seguinte sintaxe ex: 192.168.2.20
E depois eu fui em: aba filter do firewall e na regra de bloqueio dos sites eu fui na aba advanced e em Src. Adrress list coloquei o nome da adress list que eu criei com os ips e comentei, e deixei marcada a caixinha ao lado da opção.
Coloquei do jeito que Fernando havia me explicado, deu certo para o youtube, mas para o facebook não.
Valeu!
vc esta bloqueando os sites pelo nome ou pelo ip?
Se for pelo ip se torna complicado bloquear pois varios sistes tem 2 ou mais ips o que pode ser feito é uma regra no filter com a palavra que contenha o endereço do site e a regra adiciona o ip do site automaticamente no address list.
vamos por etapas
/ip firewall filter
add action=add-dst-to-address-list address-list=bloqueado address-list-timeout=\
0s chain=forward content=facebook disabled=no
como esta sendo o bloqueio dos sites pela porta ?
pois fecebook usa porta segura se estiver bloqueando porta 80 varios sistes tera acesso tem que bloquear todas as portas.
esclareça mais informação para eu entender melhor como esta ai e outra coisa lembre que a regra e sempre contada de cima para baixo de acordo com a id do lado esquerdo.
Valeu deson, deu certo agora... Só precisei subir a regra pra funcionar bacana!
Eu já tava bloqueando pelo nome mesmo, não ip...
Pra quem precisar fazer isso mesmo o que eu queria fazer, segue os passos do primeiro post do fernando e o antes desse que tô acabando de responder...
Valeu pelo ajuda a todos!