Ola amigo do forum desde já agradeço pelas dicas alguém teria alguma dica para bloquear twitter e Facebook somente para um cliente vlw eu tentei colocar no adrress list o ip do clientes e outra lista com todos ips do site qe é para bloqear depois criei uma em filter firewall dropando mais nada aconteceu
ex
add action=drop chain=forward disabled=no dst-address-list="bloqueado site" \
dst-port=80 protocol=tcp src-address-list="cliente site"
vou postar 1 ex do facebook porqe tem varios ip
add address=69.171.229.16 comment="site bloqeado facebook" disabled=no list=\
"bloqueado site"
add address=10.0.129.2 comment="bloqear site para cliente" disabled=no list=\
"cliente site
agradeço a todos qe poder me dar uma dica
Respostas
vc pode bloquear urls usando o layer7, veja o exemplo abaixo que bloqueia o UOL:
Bloqueando UOL no Filter por Layer7
/ip firewall layer7-protocol
add comment="Bloqueio UOL" name=UOL regexp=uol.com.br
/ip firewall filter
add action=drop chain=forward comment="Bloqueio UOL" disabled=no layer7-protocol=UOL
ola pedro! esta regra é no mikrotik certo?
ai vai bloquei para todos os cliente né?
só quero bloquear só um cliente. ex: login:fulanodetal.
grato
para somente um cliente na regra do filter vc precisa colocar o ip ou o mac do cliente...
gidelson barbosa da silva disse:
Ola pedro!
/ip firewall filter
add action=drop chain=forward comment="Bloqueio UOL" disabled=no layer7-protocol=UOL onde eu colocaria o mac do clciente?
a algum tempo atraz recebi aqui uma dica de um amigo aqui do forum ( mas que agora não lembro quem foi e direciono a ele os creditos) pois eu procurava algo como vc tb, andei fazendo alguns testes para em caso de solicitaçoes do cliente fosse bloqueados o site e o cliente recebesse uma mensagem que o assinante solicitou que fosse bloqueado aquele site. Pois bem, depois de muitos testes cheguei a este resultado, (que ainda não foi testado a fundo mas que aqui ta funcionando nos meus testes) e gostaria que os amigos testassem e quem sabe melhorar as regras aqui apresentada.
vale lembrar que é importante que os testes sejam feitos em máquina que não esteja em produçao para evitar possiveis problemas na hora de implementar tal recurso, e aí depois que vc achar que ficou a seu gosto aí transfere para a máquina em produçao. veja abaixo:
Lembrando que aqui os clientes usa pppoe para autenticar e informo o ip manualmente no cadastro de cada um.
no mk-auth:
Criei uma pasta no caminho abaixo:
/usr/local/mkauth/meusalertas/sites/sitesbloqueados/
e dentro coloquei minha pagina de alerta falando que o assinante solicitou o bloqueio do site em questão e bla bla bla
e no arquivo default localizado no caminho abaixo:
/etc/apache2/sites-available
editei e adicionando a seguinte linha, (claro que deve ser seguida a ordem portas dos VirtuaisHosts existentes no meu caso é a 94)
<VirtualHost *:94>
ServerAdmin suporte@mk-auth.com.br
ServerName localhost
DocumentRoot /usr/local/mkauth/meusalertas/sites/sitesbloqueados/
</VirtualHost>
Observe que defini a porta 94 como porta de acesso a esta pagina de avisos no mkauth.
Edite o arquivo 'ports.conf' localizado no diretório '/etc/apache2/
adicionando a linha
Listen 94
novamente deve-se obedecer a ordem das portas já liberadas existentes.
e por ultimo deve-se entrar via puty e dar um restart no apache2 com o comando abaixo:
/etc/init.d/apache2 restart
Pronto antes de colocar as regras no mikrotik confirme se consegue ver sua pagina de aviso de solicitaçao de bloqueio de sites, tentando acessar via navegador da seguinte forma
http://Ip do mkauth:94
se conseguir ver a pagina que voce colocou la no mkauth, passe para 2ª passo:
no seu mikrotik que servidor pppoe acrescente as regras a baixo:
no nat:
adicione nova regra
na aba general = em chain dstnat, em src. address (ip informado no cadastro do cliente), em protocol tcp
na aba advanced = em dst.address list (escreva bloq_hotlink) referindo-se ao site a ser bloqueado
na aba action = em action dst-nat, em to addresses (ip do mkauth), em to ports 94
em comentarios vc pode informar que tratasse do bloqueio ao site www.hotlink.com.br solicitado pelo cliente tal.
salve e deixe no topo da regra de nat
ainda no firewall do mikrotik vc vai em address lists e cria mais uma regra
em name selecione bloq_hotlink, em address 189.1.1.9 este ip dever ser o ip do site em questão.
pronto desta forma o cliente ao digitar o site em sua maquina ao invez de carregar o site em questão carrega sua pagina de aviso de bloqueio de site solicitado pelo cliente.
Claro que provavelmente deve haver melhorias nestas regras como capturar o mac ao invez do ip do cliente quem poder fazer tais testes e sugerir melhorias seria ótimo de qualquer forma fica aí a dica.
Amigo, poderia disponibilizar o seu arquivo já com a lista dos sites que vc bloqueia ai?
Ou vc cria um arquivo para cada site e para cada Cliente?
O facebook vc consegue bloquear ai? pois ele não usa apenas 1 ip, usa mais de uma range, se bloquear tudo não vai interferir em algum outro site?
Carlos Roberto Borges disse:
pois é Luciano esta forma de bloqueio é por ip do site sendo informado no addresslist, uma dificuldade que tenho hj nesta forma que uso é que o bloqueio de alguns sites dinamicos fica mudando de ip e foi justamente por isso que postei aí pra nós discutir-mos algumas mudanças.
1ª a possibilidade de ser identificado o cliente via mac e não ip:
porque muitas vezes o cliente usa o mesmo login em duas máquinas e uma pode ver o site mas outra não, embora na hora da conexao é usado o mesmo ip.
2ª a possibilidade de o site ser identificado via parte do nome e não ip:
no caso de ip dinamico a regra não funciona corretamente pois a caso em que alguns sites usam o mesmo range de ip, e aí iria ser bloqueado sites que não seria o foco.
fora estes dois detalhes aprincipio acho uma ótima sugestão e funciona perfeitamente para sites que tem ip definidos.
Então conto com ajuda de todos para melhorar-mos esta sugestão e assim todos porsamos usufruir deste recurso.
e respodendo sua solicitaçao Luciano, não há arquivo com lista de sites nem é criado nenhum arquivo para cada cliente e sim é criado uma nova regra para cada cliente e é dado um nome referente ao site bloqueado (no caso bloq_hotlink e no addresslist é informado o ip do site para haver o bloqueio ( no caso 189.1.1.9 ), e desta forma pode-se ir adicionando para cada site ainda não criada e direcionando a regra apenas para o ip do cliente que solicitou.
Luciano Kalinoski disse:
consegui a solução, dropar o domínio do Facebook e bloquear o famoso burlador ultrasurf, ate ai td tranquilo, o problema foi 1 semana depois as reclamações que o pessoal da saúde não estava conseguindo acessar alguns sites, então tive q desfazer tudo.