Bloqueio de sites por nome de usuário

[alextaws]

Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.

Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.

O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;

Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.

Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?

Será que funciona legal?

[Batmam]

Olha a nova versão do mikrotik agora tem como bloquear por nome no address list, então é só colocar lá na lista facebook que vai bloqueando todos ip's dinamicamente

[AndrioPJ]

Olha a nova versão do mikrotik agora tem como bloquear por nome no address list, então é só colocar lá na lista facebook que vai bloqueando todos ip's dinamicamente

o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.

Amigos venho aqui compartilhar e ao mesmo tempo pedir uma ajuda.

Um cliente empresarial meu, esta me solicitando que eu bloquei alguns sites, como facebook e whatssap, ele tem mais de um login em um único contrato.

O ip que ele recebe e dinâmico;
A CPE e ubiquiti (AirOS);
O roteador do cliente fica em bridge;

Como o roteador fica em bridge, pensei em fazer o bloqueio pela CPE em firewall, mais só dar pelo ip e sites como face e whats, alteram de ip, então esse bloqueio seria inútil.

Então pensei em fazer por nome de usuário dentro do mikrotik em IP --> FIREWALL --> FILTER, utilizando forward, a interface de bloqueio que seria o nome de usuário do pppoe do cliente, e em CONTENT, utilizar a palavra chave a ser bloqueada. O que acham?

Será que funciona legal?

uai, você fornece internet ou presta serviços extras?

mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.

[alextaws]

Isso que pretendo fazer foi um pedido do próprio cliente, para não deixar funcionário navegando em rede social ao invés de esta trabalhando

[alextaws]

uai, você fornece internet ou presta serviços extras?

mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.

Forneço, mais o próprio cliente me pediu isso

[Bruno]

Bom sempre tenho clientes que pedem isto, o que respondo é que dentro do meu core não executo regra alguma de firewall e aconselho o cliente instalar um proxy

[Bruno]

o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.


uai, você fornece internet ou presta serviços extras?

mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.

@AndrioPJ sempre usei proxy (squid ou lusca ) ambos bloqueia até https normal

[Batmam]

o problema de fazer dessa forma é qdo o servidor roda mais de um serviço diferente.
por exemplo: se vc bloquear o youtube dessa forma, corre o risco de bloquear o gmail e todos os outros servicos do google.


uai, você fornece internet ou presta serviços extras?

mas enfim, antes de usar proxy http (que hoje em dia não é tão util, visto que muitos sites passaram para https), recomendo testar o nxfilter, que é um proxy dns.
show de bola ele.

Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!

[alextaws]

Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!

Eu tinha feito assim

Criei a regra com FORWARD, selecionei a interface pppoe do cliente, em content inseri a palavra chave facebook e em ACTION coloquei um DROP.

Esta correto ou falta algo?

ela bloqueiou, mais com um tempo mesmo com a regra ativada o site volta a abrir

[Batmam]

Eu tinha feito assim

Criei a regra com FORWARD, selecionei a interface pppoe do cliente, em content inseri a palavra chave facebook e em ACTION coloquei um DROP.

Esta correto ou falta algo?

ela bloqueiou, mais com um tempo mesmo com a regra ativada o site volta a abrir

Amigo cria uma address list com domínio www.facebook.com e outro com m.facebook.com, aí vc cria a regra de bloqueio em filer e pega essa lista...qualquer coisa pode me chamar no skype netvida1 que te ajudo

[alextaws]

Amigo cria uma address list com domínio www.facebook.com e outro com m.facebook.com, aí vc cria a regra de bloqueio em filer e pega essa lista...qualquer coisa pode me chamar no skype netvida1 que te ajudo

Vou testar, amanhã e lhe aviso.

[AndrioPJ]

@AndrioPJ sempre usei proxy (squid ou lusca ) ambos bloqueia até https normal

1 - Não funciona qdo se usa proxy transparente OU para funcionar precisa instalar certificado do proxy nos computadores.

2 - Não faz bloqueio de ftp, sftp, ou mesmo http/https que passe por outra porta.

No caso, o nxfilter permite que você faça o bloqueio logo na consulta do cliente.
Independente se é ftp, sftp, http, https ou outro protocolo... Se o cliente fez uma consulta dns querendo saber o IP do site sex.com.br (exemplo), o nxfilter verifica se esse dominio está permitido para aquele cliente, e libera ou bloqueia.

[AndrioPJ]

Amigo é só atrelar um content nessa address list, dessa forma vai ficar mais específica e vai bloquear somente o youtube! O problema era criar essa lista de ip, hj com a nova versão o mk já faz dinamicamente!

Não exatamente.
como eu disse, dependendo do serviço, o google usa o mesmo IP em mais de um serviço.
Já peguei casos onde estava sendo bloqueado o youtube dessa forma, e certo dia o usuario não conseguia acessar o gmail.
Por fim desativamos essa regra e o usuario voltou a acessar o gmail

Vou testar, amanhã e lhe aviso.

o usuario pode burlar facilmente.
basta usar algum proxy ou extensão de navegador, tal como ultrasurf.

[Bruno]

1 - Não funciona qdo se usa proxy transparente OU para funcionar precisa instalar certificado do proxy nos computadores.

2 - Não faz bloqueio de ftp, sftp, ou mesmo http/https que passe por outra porta.

No caso, o nxfilter permite que você faça o bloqueio logo na consulta do cliente.
Independente se é ftp, sftp, http, https ou outro protocolo... Se o cliente fez uma consulta dns querendo saber o IP do site sex.com.br (exemplo), o nxfilter verifica se esse dominio está permitido para aquele cliente, e libera ou bloqueia.

ha sim transparente sem chance

sobre outras portas vc pode adicionar as portas pro proxy criadmo a acl port porem dificil imaginar a porta que vai ser usada

e gostei deste nxfilter porem da pra burlar facil kkk

[Batmam]

Não exatamente.
como eu disse, dependendo do serviço, o google usa o mesmo IP em mais de um serviço.
Já peguei casos onde estava sendo bloqueado o youtube dessa forma, e certo dia o usuario não conseguia acessar o gmail.
Por fim desativamos essa regra e o usuario voltou a acessar o gmail



o usuario pode burlar facilmente.
basta usar algum proxy ou extensão de navegador, tal como ultrasurf.

Amigo o mikrotik vai criar uma lista dinamicamente para o domínio www.facebook.com, não por nome e sim domínio, já tenho a muito tempo testando aqui e o restante tudo funciona normal, menos o face é claro...rsrsrs

[alextaws]

@Batmam, poderia dar instruções como posso fazer isso? ou então por onde começar?

[Batmam]

Tô na rua agora, mas quando chegar em casa vou colar as regras aqui

[alextaws]

Obrigado, vou ficar na espera

[Batmam]

Tá aí as regras amigo



ip firewall filtetr:

add action=drop chain=forward dst-address-list=blofacebook dst-port=80,443 protocol=tcp src-address=192.168.3.231

ip firewall address-list:

add address=www.facebook.com list=blofacebook
add address=m.facebook.com list=blofacebook

--------

obs: Em src-address: ip do cliente que quer bloquear, pode bloquear a rede toda também se quiser! Ou alguns!

[alextaws]

Vi agora, teria como bloquear por interface?
Testei aqui amigo e não funcionou.