Wpis z mikrobloga

Skopiuj link

konto usunięte 04.07.2021, 20:36:35

Cześć Mirki i Mirabele! ( ͡° ͜ʖ ͡°)
Mam problem z #mikrotik mianowicie chcę zablokować #tiktok , jeśli poprostu dodaje regułkę w Firewall>7 layer features i tam tiktok.com, a następnie dodaję regułę w firewallu to działa, ale wiadomo tylko na ten adresie w przeglądarce - aplikacja musi łączyć się po innych adresach. Oglądałem parę tutoriali, robię podobnie - dodaję tą -->

paczkę <-- nazw domenowych w "7 layer features" i nie działa, działa tylko z 1 nazwą domenową, a jest to sporo klepania. Dziwi mnie to, że jak dodaję regułę, gdzie chain=forward i wpisuję w src.addrs jeden od tik toka, to jak później go spinguje to działa; zmieniałem na inne "łańcuchy, by sprawdzić, czy działa. Reguły próbowałem też przenosić na stos wszystkich. Nie wiem co mam zrobić i bardzo proszę o radę
Topologia:
antena radiowa ubiquiti - taka jak na foto - daje adres na 1 wan mikrotika; w mikrotiku standardowa konfiguracja + parę dupereli w postaci "kid control" i parę innych reguł firewall.

p.....r - Cześć Mirki i Mirabele! ( ͡° ͜ʖ ͡°)
Mam problem z #mikrotik mianowicie chc... — **źródło:** comment_1625430936GhYMC5OvprUycCsU2C2iAh.jpg
Pobierz

trolejbus

korni007

04.07.2021, 20:50:35 via Android

@proktodestruktor ale po co layer7? Zforwarduj zapytania dns z domen tiktoka na 127.0.0.1 i tyle ( ͡º ͜ʖ͡º)
Postaw pihole i z głowy ( ͡º ͜ʖ͡º)

d1sconn3cted

04.07.2021, 20:57:19

Dziwi mnie to, że jak dodaję regułę, gdzie chain=forward i wpisuję w src.addrs jeden od tik toka, to jak później go spinguje to działa; zmieniałem na inne "łańcuchy, by sprawdzić, czy działa.

@proktodestruktor: bo źle dodajesz, jak możesz dawać taki sam source i destination adres i się dziwić że nie działa? xD

PortalZeSmiesznymiObrazkami

p.....r

konto usunięte 04.07.2021, 21:00:36 via Android

@korni007 nie działa Miruś ( ͡° ʖ̯ ͡°)

p.....r

konto usunięte 04.07.2021, 21:03:03 via Android

@d1sconn3cted dodaje tam jeszcze "action" "stop", tego nie dopisałem, ale widać na screenach

d1sconn3cted

04.07.2021, 21:05:45

@proktodestruktor: chodzi mi tu o adres sam w sobie. Jeżeli wysyłasz pakiet do IP 161. to destination będzie 161. a source będzie twój adres np. 140. powrotny ruch będzie miał destination 140. a source 161.

p.....r

konto usunięte 04.07.2021, 21:10:28 via Android

@d1sconn3cted pewnie chodzi o to, że jestem debilem, ale robiłem tak, że source był ten 161.x.x.x, robiłem to przed pisaniem tego wpisu i cykaniem screenów do niego.

PotwornyKogut

04.07.2021, 21:22:20 via Wykop Mobilny (Android)

@proktodestruktor: ja sobie dałem spokój z takim blokowaniem bo to jest kompletnie nieopłacalne i mało skuteczne.
moja rada: załóż sobie konto na open DNS, ustaw podane tam adresy jako serwery DNS dla mikrotika, zablokuj korzystanie z innych serwerów DNS oraz zainstaluj skrypt który będzie się logował do tej usługi.
i wtedy spokojnie wchodzisz sobie na panel w open DNS i wykliujesz wszystko to co chcesz banować. i po bólu. to oni

konto usunięte

PotwornyKogut

04.07.2021, 21:27:11 via Wykop Mobilny (Android)

@proktodestruktor: tam jest tego więcej, to tylko przykłady

p.....r

konto usunięte 04.07.2021, 21:37:14 via Android

@PotwornyKogut widziałem w różnych poradnikach takie cuda, myślałem, że na mikrotiku zrobię od strzału, ale jak radzisz to tak zrobię - najwygodniej, dzięki! (｡◕‿‿◕｡)

PortalZeSmiesznymiObrazkami

04.07.2021, 21:54:05 via Wykop Mobilny (Android)

@PotwornyKogut: to nie jest tak że blokadę DNS na routerze czy ISP który wymusza swój można obejść używając np DoH?

To trochę jak postawić furtkę ale nie ogrodzić domu xD

PotwornyKogut

05.07.2021, 02:00:36

@PortalZeSmiesznymiObrazkami: odwieczna rywalizacji tarczy i miecza.
równie dobrze można powiedzieć, że nic nie trzeba robić, bo każdy może neta udostępnić sobie przez telefon...

ale open dns może pomóc o tyle, że można wyciąć strony o DoH i gościu nie doczyta. pewnie takiej funkcjonalności tam nie ma, ale np. jest wycinanie stron traktujących o usługach proxy. zawsze jest to krok w stronę uszczelnienia...

PotwornyKogut

05.07.2021, 02:03:23

@proktodestruktor: pamiętaj, że musisz na swoim koncie podawać aktualny adres twojej sieci (jeśli jest dynamiczny), bo oni muszą wiedzieć, kto pyta, bo przecież każdy ma co innego zablokowane. po to jest ten skrypt.

konto usunięte

lunga

05.07.2021, 05:40:41

zablokuj korzystanie z innych serwerów DNS

@PotwornyKogut: Da się tak zrobić? Żeby ktoś sobie nie wpisał po prostu DNS Google.

p.....r

konto usunięte 05.07.2021, 06:13:17 via Android

@PotwornyKogut spokojnie, jest statyczny, jak skonfiguruje to dam znać, czy działa.

PortalZeSmiesznymiObrazkami

05.07.2021, 06:23:59 via Wykop Mobilny (Android)

zablokuj korzystanie z innych serwerów DNS

Da się tak zrobić? Żeby ktoś sobie nie wpisał po prostu DNS Google.

@lunga: da się, najprostsze rozwiązanie to podmiana src ip pakietów z portem 53, ale dla nie kumatych użytkowników wystarczy

lunga

PotwornyKogut

05.07.2021, 08:45:02 via Wykop Mobilny (Android)

@lunga: z tego co pamietam, blokujesz firward UDP port 53

lunga

PotwornyKogut

05.07.2021, 08:56:00 via Wykop Mobilny (Android)

@lunga: albo jak jesteś bardziej perfidny to nie blokujesz innych DNS tylko zawijasz zapytania w taki sposób, żeby i tak trafiły do twojego DNS na mietku
coś w stylu
/ip firewall nat
add action=dst-nat chain=dstnat comment="dns redirector" in-interface=(lan) src-addres=(adres twojej sieci) dst-port=53 protocol=udp to-addresses=172.0.0.1

lunga

korni007

05.07.2021, 09:55:30 via Android

@proktodestruktor przekieruj wszystkie zapytania wyłażące przez port 53 na Twój lokalny dns tak jak wyżej napisał kolega. Świetna sprawa ze w mt tak można zrobić, bo w fortigate niestety trzeba robić fikolki i trykasy żeby tk tak działało, mi osobiście nie udało się tego zrobić.

p.....r

konto usunięte 05.07.2021, 21:55:10 via Android

@korni007 @PotwornyKogut ulepiłem coś takiego, pakiety z 53 przekierowuję na adres Mietka, ustawiłem też to blokowanie z pomocą "layer 7" i zasady z tym w firewall, jakieś pakiety zaczęły tam przechodzić, ale dalej nie filtruje. Nawet jak na Mietku dodam w firewallu "drop" pakietu z jakiegoś adresu, który umieszczam w "src address" to mogę go pingować, a próbowałem z ustawieniem na każdym "chain"(forward, output i input). Dla pewności wyłączyłem wszystkie zasady firewall

lunga

06.07.2021, 06:29:44

@proktodestruktor: Wrzucę Ci screeny jak u mnie działa (reguła 24)

konto usunięte
wlatca-oka

Aktywne Wpisy

Kantar

Kantar +78

5 godz. i 7 min temu

Rozmowy o dzietności sprawiają, że mam wrażenie, że żyję w jakieś alternatywnej rzeczywistości lub otoczony przez idiotów.
Kiedy ludzie wbiją sobie do głowy to, że czynniki mieszkaniowe/aborcja mają znaczenie, ale głównym czynnikiem jest po prostu bogacenie się i rozwój.

Im ludzie mają więcej ciekawych rzeczy do roboty, planów, pasji, lepsze warunki życia i komfort tym dzieci robi się mniej.
To najbiedniejsze kraje przodują w liczbie urodzeń.

Nawet na przykładzie pojedynczego państwa to

Kantar - Rozmowy o dzietności sprawiają, że mam wrażenie, że żyję w jakieś alternatyw... — **źródło:** Screenshot 2024-01-31 215024
Pobierz

4mmc-enjoyer

4mmc-enjoyer +14

6 godz. i 11 min temu

Mówię teraz do wszystkich z: deprechą, lękami, fobiami - czemu do #!$%@? nie pójdziecie do lekarza? Lepiej jest całe życie narzekać jacy to biedni jesteście? Przecież to jest choroba jak każda inna. Jesteś chory = bierzesz leki. Ja bez leków byłbym wrakiem, bezrobotnym, mieszkający z mamusią, zjebem który cały dzień śpi i wstaje tylko wejść na kompa. Wizyta u lekarza was stresuje? - no #!$%@? ja miałem tak samo, dlatego nigdy nie

Aktywne Wpisy

Aktywne Znaleziska

Proboszcz przywłaszczył 1,2 mln zł dotacji. Stracił majątek na kryptowalutach

Giertych mówi o gigantycznym skandalu. Wyniki kontroli Funduszu Sprawiedliwości

Konfederacja kontra kłamstwa PIS, starcie podczas konferencji prasowej

Jakość wyników wyszukiwania Google, Bing i DuckDuckGo jest coraz gorsza

Zrób i ty coś dla klimatu, podpisz petycję

Popularne tagi