+ Responder ao Tópico



  1. #1

    Padrão Mikrotik Rb 750

    Bom dia pessoal,

    Normalmente faço bloqueios no mikrotik nas regras de firewall .

    Recentemnte fiz um bloqueio para niniguem na rede acessar o youtube através de regra no firawall.

    Em general eu coloco chain -> forward / protocol->6(tcp) / dst port-> 443 , 80 .
    Em Advanced eu coloco apenas em content = youtube e depois colcoa a opção DROP.

    O youtube fica bloqueado mas vários sites inclusive o banco do brasil fica lento demais, justamente porque tem vídeos do youtube na sua página inicial, como fzer pra resolver este problema ?

  2. #2

    Padrão Re: Mikrotik Rb 750

    Muda de drop para reject e testa.



  3. #3

  4. #4

    Padrão Re: Mikrotik Rb 750

    Bom, no caso da navegação, um documento HTML possui uma grande quantidade de elementos (imagens, objetos, frames, arquivos scripts), e cada um desses elementos abre uma conexão TCP para a URL em que estão. Acontece que, se uma conexão a um host é obstruída (no caso é o que acontece com o seu drop), o cliente (que é o navegador) não vai saber de nada, e vai ficar aguardando resposta daquela conexão, até o momento em que o cliente resolver dar timeout. Esse tempo de espera até que acontece o timeout, vai fazer a pagina ficar "travando". Se não me engano, no Windows XP, havia por padrão um limite de 10 conexões HTTP simultâneas, não sei se existe esse limite ainda, se ele existe, é mais um fator para atrasar consideravelmente o carregamento da página.

    Quando você invés de usar o "drop", usa o "reject", uma mensagem ICMP de rejeição é enviada devolta para o cliente, permitindo que ele feche a conexão que foi rejeitada. Isso tudo vai depender da implementação do socket no lado do cliente, nunca testei, mas acredito que pode gerar o resultado que você precisa, que é de carregar a página mais rapido, não perdendo tempo em conexões que você não queira que siga adiante.

    A diferença do "drop" é somente essa; o drop simplesmente descarta e ignora o pacote, deixando o cliente sem saber o que aconteceu e esperando por resposta; o reject, por outro lado, descarta o pacote, mas manda uma mensagem ICMP dessa atitude, permitindo que o cliente encerre a conexão ao saber disso.

    Teste, e se possível, poste se houve alguma mudança, pois como informei, vai depender da implementação do socket no lado do cliente, e eu nunca testei isso. Poderia testar, mas já que você está com o cenário pronto, é só testar e postar o resultado pra comunidade.



  5. #5

    Padrão Re: Mikrotik Rb 750

    Obrigado pela dica. Mas não resolveu, deixando reject o site do youtube fica liberado. Continuo ainda com a pergunta como bloquear o site do youtube pelo mikrotik sem afetar demais sites ...

  6. #6

    Padrão Re: Mikrotik Rb 750

    No post anterior eu esqueci de considerar que o youtube, hoje em dia, trafega em HTTPS. Ou seja, todo o trafego ja vem criptografado do cliente. Pelo seu mikrotik, não vai passar um trafego com conteudo (nem cabeçalho, nem dados) legível, escrito "youtube". Por isso, esse método só funcionaria com sites HTTP.
    Acho que só daria pra bloquear por um web proxy, ou por uma lista de endereços IPs do youtube.