Bloquear Youtube e Facebook via Mikrotik com domínio

[willianribeiro]

Boa tarde,

estou tentando bloquear esses dois sites aqui na empresa, mas nas regras que são as mais adequadas (pelo que pesquisei aqui) preciso usar um DNS no Mikrotik, porém como uso domínio preciso usar nas estações no DNS o IP da máquina do domínio.

Estou tentando essa dica do usuário @alexrock :

"Outra forma que existe é, usando o DNS da RB, criar uma entrada estática com www.youtube.com para o IP 127.0.0.1.
Para isso funcionar você precisa utilizar o DNS da RB como o seu DNS da rede e redirecionar o acesso a qualquer DNS externo para o da RB."

Com essas regras que o @berghetti passou em outro tópico, para forçar os clientes a usar o DNS do Mikrotik:


/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53 add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53

[inquiery]

Se você tem um domínio na empresa, cria um certificado interno raiz (CA) e instala nos computadores, da pra criar scripts pra executar no logon que instala esse certificado automaticamente na estação. Assim, você pode colocar um Proxy na rede para HTTPS sem se incomodar com notificações de segurança, e pode bloquear conteúdo pela URL, como se fosse HTTP.

Para bloquear o facebook tem que dar uma trabalhadinha a mais visto que o facebook usa CDN da akamai por exemplo, e então muitos conteúdos vem de endereços que não tem nada de facebook.com, alguns endereços em fbcdn.com, enfim, é só ir bloqueando conforme vai identificando. Eu nunca bloqueei nada então nunca fui a fundo nisso, mas eu acho que em um dominio seria mais facil e mais gerenciável fazer assim.

[berghetti]

E se nessa máquina de domínio vc usar o DNS do mk, não daria?

[andrecarlim]

Se usa domínio do Windows com DNS/Active Directory faz as as entradas do tipo A no próprio DNS do Windows! Não tem segredo não, já fiz muito isso.

A regra de NAT que você citou serve apenas para aplicar no teu gateway, evitando que algum espertinho troque o DNS para algum público, só isso.

Enviado via XT1563 usando UnderLinux App

[Fcnetwork]

ja testou usando Layer 7 ?
Achei no google:


e mais detalhes:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7


No forum tem topicos

Boa tarde,

estou tentando bloquear esses dois sites aqui na empresa, mas nas regras que são as mais adequadas (pelo que pesquisei aqui) preciso usar um DNS no Mikrotik, porém como uso domínio preciso usar nas estações no DNS o IP da máquina do domínio.

Estou tentando essa dica do usuário @alexrock :

"Outra forma que existe é, usando o DNS da RB, criar uma entrada estática com www.youtube.com para o IP 127.0.0.1.
Para isso funcionar você precisa utilizar o DNS da RB como o seu DNS da rede e redirecionar o acesso a qualquer DNS externo para o da RB."

Com essas regras que o @berghetti passou em outro tópico, para forçar os clientes a usar o DNS do Mikrotik:


/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53 add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53

[magnorm]

Aqui no serviço coloco o dns do ad nas maquinas e o ad coloco o dns do mikrotik. Ai fica facinho gerenciar os bloqueios e redirecionar serviços que estao instalados nos servidores internos

Enviado via LG-V490 usando UnderLinux App

[willianribeiro]

Bom dia, obrigado a todos que me ajudaram. Fiz a configuração conforme o @andrecarlim postou, fiz as entradas do tipo A e para os acessos wifi configurei o DNS do AD direto no roteador.

Pro facebook deu mais trabalho pois são várias URLs (como antecipou o @inquiery ), tive que fazer várias entradas mas no final parece que deu certo também.

Mais uma vez obrigado a quem se dispôs a ajudar.

[willianribeiro]

Se usa domínio do Windows com DNS/Active Directory faz as as entradas do tipo A no próprio DNS do Windows! Não tem segredo não, já fiz muito isso.

A regra de NAT que você citou serve apenas para aplicar no teu gateway, evitando que algum espertinho troque o DNS para algum público, só isso.

Enviado via XT1563 usando UnderLinux App

Uma dúvida, como você faz quando precisa liberar o acesso para alguma máquina?