Bloqueio de sites por nome de usuário
Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.
Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.
O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;
Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.
Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?
Será que funciona legal?
Re: Bloqueio de sites por nome de usuário
Olha a nova versão do mikrotik agora tem como bloquear por nome no address list, então é só colocar lá na lista facebook que vai bloqueando todos ip's dinamicamente
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Olha a nova versão do mikrotik agora tem como bloquear por nome no address list, então é só colocar lá na lista facebook que vai bloqueando todos ip's dinamicamente
o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.
Citação:
Postado originalmente por
alextaws
Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.
Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.
O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;
Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.
Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?
Será que funciona legal?
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
Re: Bloqueio de sites por nome de usuário
Isso que pretendo fazer foi um pedido do próprio cliente, para não deixar funcionário navegando em rede social ao invés de esta trabalhando
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
Forneço, mais o próprio cliente me pediu isso
Re: Bloqueio de sites por nome de usuário
Bom sempre tenho clientes que pedem isto, o que respondo é que dentro do meu core não executo regra alguma de firewall e aconselho o cliente instalar um proxy
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
@AndrioPJ sempre usei proxy (squid ou lusca ) ambos bloqueia até https normal
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.
uai, você fornece internet ou presta serviços extras?
mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
Eu tinha feito assim
Criei a regra com FORWARD, selecionei a interface pppoe do cliente, em content inseri a palavra chave facebook e em ACTION coloquei um DROP.
Esta correto ou falta algo?
ela bloqueiou, mais com um tempo mesmo com a regra ativada o site volta a abrir
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
alextaws
Eu tinha feito assim
Criei a regra com FORWARD, selecionei a interface pppoe do cliente, em content inseri a palavra chave facebook e em ACTION coloquei um DROP.
Esta correto ou falta algo?
ela bloqueiou, mais com um tempo mesmo com a regra ativada o site volta a abrir
Amigo cria uma address list com domínio www.facebook.com e outro com m.facebook.com, aí vc cria a regra de bloqueio em filer e pega essa lista...qualquer coisa pode me chamar no skype netvida1 que te ajudo
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo cria uma address list com domínio
www.facebook.com e outro com m.facebook.com, aí vc cria a regra de bloqueio em filer e pega essa lista...qualquer coisa pode me chamar no skype netvida1 que te ajudo
Vou testar, amanhã e lhe aviso.
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Bruno
@
AndrioPJ sempre usei proxy (squid ou lusca ) ambos bloqueia até https normal
1 - Não funciona qdo se usa proxy transparente OU para funcionar precisa instalar certificado do proxy nos computadores.
2 - Não faz bloqueio de ftp, sftp, ou mesmo http/https que passe por outra porta.
No caso, o nxfilter permite que você faça o bloqueio logo na consulta do cliente.
Independente se é ftp, sftp, http, https ou outro protocolo... Se o cliente fez uma consulta dns querendo saber o IP do site sex.com.br (exemplo), o nxfilter verifica se esse dominio está permitido para aquele cliente, e libera ou bloqueia.
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
Batmam
Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!
Não exatamente.
como eu disse, dependendo do serviço, o google usa o mesmo IP em mais de um serviço.
Já peguei casos onde estava sendo bloqueado o youtube dessa forma, e certo dia o usuario não conseguia acessar o gmail.
Por fim desativamos essa regra e o usuario voltou a acessar o gmail
Citação:
Postado originalmente por
alextaws
Vou testar, amanhã e lhe aviso.
o usuario pode burlar facilmente.
basta usar algum proxy ou extensão de navegador, tal como ultrasurf.
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
1 - Não funciona qdo se usa proxy transparente OU para funcionar precisa instalar certificado do proxy nos computadores.
2 - Não faz bloqueio de ftp, sftp, ou mesmo http/https que passe por outra porta.
No caso, o nxfilter permite que você faça o bloqueio logo na consulta do cliente.
Independente se é ftp, sftp, http, https ou outro protocolo... Se o cliente fez uma consulta dns querendo saber o IP do site sex.com.br (exemplo), o nxfilter verifica se esse dominio está permitido para aquele cliente, e libera ou bloqueia.
ha sim transparente sem chance
sobre outras portas vc pode adicionar as portas pro proxy criadmo a acl port porem dificil imaginar a porta que vai ser usada
e gostei deste nxfilter porem da pra burlar facil kkk
Re: Bloqueio de sites por nome de usuário
Citação:
Postado originalmente por
AndrioPJ
Não exatamente.
como eu disse, dependendo do serviço, o google usa o mesmo IP em mais de um serviço.
Já peguei casos onde estava sendo bloqueado o youtube dessa forma, e certo dia o usuario não conseguia acessar o gmail.
Por fim desativamos essa regra e o usuario voltou a acessar o gmail
o usuario pode burlar facilmente.
basta usar algum proxy ou extensão de navegador, tal como ultrasurf.
Amigo o mikrotik vai criar uma lista dinamicamente para o domínio www.facebook.com, não por nome e sim domínio, já tenho a muito tempo testando aqui e o restante tudo funciona normal, menos o face é claro...rsrsrs
Re: Bloqueio de sites por nome de usuário
@Batmam, poderia dar instruções como posso fazer isso? ou então por onde começar?
Re: Bloqueio de sites por nome de usuário
Tô na rua agora, mas quando chegar em casa vou colar as regras aqui
Re: Bloqueio de sites por nome de usuário
Obrigado, vou ficar na espera
Re: Bloqueio de sites por nome de usuário
Tá aí as regras amigo
ip firewall filtetr:
add action=drop chain=forward dst-address-list=blofacebook dst-port=80,443 protocol=tcp src-address=192.168.3.231
ip firewall address-list:
add address=www.facebook.com list=blofacebook
add address=m.facebook.com list=blofacebook
--------
obs: Em src-address: ip do cliente que quer bloquear, pode bloquear a rede toda também se quiser! Ou alguns!
Re: Bloqueio de sites por nome de usuário
Vi agora, teria como bloquear por interface?
Testei aqui amigo e não funcionou.