+ Responder ao Tópico



  1. #1

    Padrão Bloquear Sites https...

    Ola galera estou precisando bloquear sites tipo 'https://ofuxico.terra.com.br/', achei uma regra muito boa para o facebook...

    add chain=forward protocol=tcp content=facebook action=add-dst-to-address-list address-list=Facebook address-list-timeout=0s comment="Bloqueio Facebook" disabled=no
    add chain=forward protocol=tcp dst-port=443 dst-address-list=Facebook action=reject reject-with=icmp-host-unreachable comment="DropFacebook" disabled=no

    ... tentei usar a mesma regra para o site do ofuxico mas não funciona, sera que alguém poderia me ajudar, estou usando a versão 2.9.27...

  2. #2

    Padrão Re: Bloquear Sites https...

    utilizo essa aqui á anos nunca falhou pega aí...

    /ip firewall filter add action=drop chain=forward comment="--------------bloqueio meuip.com.br------------" content=meuip.com.br disabled=no



  3. #3

    Padrão Re: Bloquear Sites https...

    tá aqui ó de mão beijada!!! rsrsrsrs

    /ip firewall filter add action=drop chain=forward comment=--------------ofuxico.terra.com.brr------------ content=ofuxico.terra.com.br disabled=no

  4. #4

    Padrão Re: Bloquear Sites https...

    wondernetwork, muito bom essa regra, vc me tirou do sufoco, muito obrigado!!!

    Desculpe o abuso, mas se eu precisasse liberar uma pagina bloqueada desse jeito para uma maquina na rede seria possível...



  5. #5

    Padrão Re: Bloquear Sites https...

    Faço bloqueio aqui por Layer7
    /ip firewall layer7-protocol
    add name=FACEBOOK_OFF regexp=facebook.com

    /ip firewall filter
    add action=drop chain=forward comment="==== Bloqueio Facebook ====" disabled=no \
    layer7-protocol=FACEBOOK_OFF

    E estou com problemas para liberar o facebook em 03 computadores
    Alguem pode me ajudar?

    Lembrando uso DHCP mas atrelo IP/MAC pelo ARP e Lease



    Citação Postado originalmente por nasc007 Ver Post
    wondernetwork, muito bom essa regra, vc me tirou do sufoco, muito obrigado!!!

    Desculpe o abuso, mas se eu precisasse liberar uma pagina bloqueada desse jeito para uma maquina na rede seria possível...

  6. #6

    Padrão Re: Bloquear Sites https...

    Add uma regra de accept, usando uma lista para os endereços que vc quer... a regra deve estar acima da regra de drop

    Aqui na empresa, organizei o firewall da seguinte forma:

    /ip firewall address-list
    #adiciona o endereco na lista Exeto
    add address=xxx.xxx.xxx.xxx comment=Nome_do_funcionario disabled=no list=Exeto
    #Add a rede x na lista LAN
    add address=xxx.xxx.xxx.xxx/24 comment=Rede-Estoque disabled=no list=LAN
    #add as redes na lista liberado
    add address=10.0.0.0/8 comment=Interno disabled=no list=LIBERADO
    add address=172.16.250.0/24 comment=Interno disabled=no list=LIBERADO
    add address=159.148.147.0/24 comment=mikrotik.com disabled=no list=LIBERADO
    add address=205.251.223.0/24 comment=dl.ubnt.com disabled=no list=LIBERADO
    #add endereços especificos na lista liberado
    add address=23.21.93.68 comment=ubnt.com disabled=no list=LIBERADO
    add address=201.48.154.18 comment=ubnt.com disabled=no list=LIBERADO
    add address=201.48.154.16 comment=ubnt.com disabled=no list=LIBERADO
    add address=200.160.2.3 comment=registro.br disabled=no list=LIBERADO
    ###############################################################
    /ip firewall filter
    #aceita tudo do protocolo icmp (ping por exemplo)
    add action=accept chain=forward comment=ICMP-Geral disabled=no protocol=icmp
    #aceita tudo de origem da lista liberado com o destino a lista LAN
    add action=accept chain=forward comment="Aceitar de liberado para lan X" disabled=no dst-address-list=LAN src-address-list=LIBERADO
    #aceita tudo de origem da lista LAN com destino a lista liberado
    add action=accept chain=forward comment="Aceitar de lan para liberado X" disabled=no dst-address-list=LIBERADO src-address-list=LAN
    #aceita tudo de qualquer origem que o destino for a lista Exeto
    add action=accept chain=forward comment="Aceitar de todos para exeto X" disabled=no dst-address-list=Exeto
    #aceita tudo de origem da lista exeto com qualquer destino
    add action=accept chain=forward comment="Aceitar de exeto para todos X" disabled=no src-address-list=Exeto
    #aceita tudo da lista lan com destino a lista lan
    add action=accept chain=forward comment="Acetar tudo da lan pra lan X" disabled=no dst-address-list=LAN src-address-list=LAN
    #dropa tudo da lista lan pra qualquer destino.... Que não tiver sido aceito nos listas acima é claro
    add action=drop chain=forward comment="dropa tudo de origem lan X" disabled=no src-address-list=LAN
    #dropa tudo de qualquer origem com destino a lista lan... Que não tiver sido aceito nos listas acima é claro
    add action=drop chain=forward comment="Dropa tudo de destino lan X" disabled=no dst-address-list=LAN
    #############################################################################
    /ip firewall nat
    #Nateia os endereços da lista lan
    add action=masquerade chain=srcnat comment=Nateamento disabled=no src-address-list=LAN



    Fica assim...
    Coloco a(s) rede(s) que irei usar na lista LAN, assim o nateamento sera apenas pro endereços que eu quiser que sejam,
    e as regras de firewall tbm já vão usar essa lista...
    adiciono os endereços de sites(ou redes) que quero permitir para todos na lista Liberados,
    Adiciono os endereços que eu quero que tenham acesso liberado a tudo=eu tenho " " na lista exeto.


    Ai assim não adianta usar programa, adicionar proxy no navegador, usar alguma criptografia nem nada, que não ira funcionar por que tudo é bloqueado, e só é aceito que quero que seja aceito...