Chưa được phân loại, IgniteNet, Khuyến Mại, Tin Tức

HƯỚNG DẪN CÁCH BLOCK WEBSITE VỚI ROUTER MIKROTIK – HOW TO BLOCK WEBSITE WITH MIKROTIK (ROUTEROS)

Posted on by maytinhlion
16
Th10

Xin trình bày vài cách block website với thiết bị router Mikrotik (RouterOs) một thiết bị network còn tương đối mới lạ, không được sử dụng rộng rãi như Cisco hay Juniper nhưng đang dần dần thể hiện là một trong những thiết bị network rẻ, hiệu năng cực kì tốt, nhiều tính năng hay, bảo mật.

Đối với các nhà quản trị mạng, quản trị hệ thống của một công ty thì việc block website đem lại rất nhiều lợi ích như hạn chế một số trang theo yêu cầu của ban giám đốc thì còn hạn chế traffic cho các trang web ko cần thiết trong công việc như xem phim, nghe nhạc v.v…
Và ở đây mình xin trình bày vài cách block website với thiết bị router Mikrotik (RouterOs) một thiết bị network còn tương đối mới lạ, không được sử dụng rộng rãi như Cisco hay Juniper nhưng đang dần dần thể hiện là một trong những thiết bị network rẻ, hiệu năng cực kì tốt, nhiều tính năng hay, bảo mật.
1. Web proxy
Đầu tiên ta enable web proxy ở trong mục ip – web proxy
Như đã nói ở mục 1 về các loại proxy thì thông thường các công ty hay sử dụng Transparent web proxy để các user không biết đang dùng 1 proxy và bị kiểm soát, và không cần phải thiết lập các thông số proxy trong các trình duyệt web.
Ta config thêm vào Firewall – Nat
ip firewall nat
/add chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80
Sau đó để block website chúng ta vào phần IP – Web proxy chọn access
Kết quả
2. Route policy
Chúng ta sẽ sử dụng tính năng route của router để block website đó
Nhược điểm của cách này là ko hỗ trợ domain, và sẽ block tất cả traffic tới IP đó
Ở đây mình thử block website vnexpress.net bằng cách block ip của trang web đó, ta sử dụng nslookup để coi ip của trang web
Ta vào IP – Route tạo 1 chain như sau
Dst add: ip trang web muốn block
Gateway: cổng đi ra internet
Type: blackhole
3. Content Filter
Ở đây ta sử dụng Firewall để block tất cả traffic sử dụng port 80,443 có nội dung là “vnexpress”
Chúng ta vào ip – firewall – filter
src add: địa chỉ ip mạng Lan mà ta muốn bị chặn bởi content vnexpress
4. Layer 7 Firewall
Ta sẽ chặn website ở layer 7 application
Đầu tiên ta phải tạo 1 chain, vào ip – firewall – layer 7 protocols
Điền vài Regexp: .*(vnexpress)+.*
Như vậy là ta đã chặn đc vnexpress
Nhược điểm của chặn kiểu layer 7 này là router phải hoạt động công suất cao để tìm kiếm những packet có chứa dữ liệu mà ta đã nhập trong Regexp.

Cấu hình chặn facebook với router Mikrotik

Router Mikrotik là dòng router đa chức năng, trong đó nổi bật nhất hay được sử dụng trong doanh nghiệp đó là

– Cân bằng tải Multi WAN

– Wifi hotspot

– VPN

Tuy nhiên chức năng Firewall của Mikrotik cũng rất mạnh mẽ, đặc biệt là webfilter.

Sau đây VNE demo tính năng block facebook trên Mikrotik CCR1036-12G-4S, OS v6.28

Các cấu hình cơ bản khác: gán IP interface, NAT, defaut route… các bạn có thể xem thêm trên http://wiki.mikrotik.com/wiki/Manual:Initial_Configuration

Phần config block facebook chỉ đơn giản như sau

Và đây là kết quả: Facebook bị chặn còn Google, Youtube vẫn OK

How to Block Websites & Stop Downloading Using Proxy

This example will explain you “How to Block Web Sites” & “How to Stop Downloading”.

First, Configure Proxy.

/ip proxy
set enabled=yes
set src-address=0.0.0.0
set port=8080
set parent-proxy=0.0.0.0
set parent-proxy-port=0
set cache-administrator="webmaster"
set max-cache-size=none
set cache-on-disk=no
set max-client-connections=600
set max-server-connections=600
set max-fresh-time=3d
set always-from-cache=no
set cache-hit-dscp=4
set serialize-connections=no

Now, Make it Transparent

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

Make sure that your proxy is NOT a Open Proxy

/ip firewall filter
add chain=input in-interface=<Your WAN Port> protocol=tcp dst-port=8080 action=drop

Now for Blocking Websites

/ip proxy access
add dst-host=www.vansol27.com action=deny

It will block website http://www.vansol27.com, We can always block the same for different networks by giving src-address. It will block for particular source address.

We can also stop downloading files like.mp3, .exe, .dat, .avi,…etc.

/ip proxy access
add path=*.exe action=deny 
add path=*.mp3 action=deny 
add path=*.zip action=deny 
add path=*.rar action=deny.

Try with this also

/ip proxy access
add dst-host=:mail action=deny

This will block all the websites contain word “mail” in url.

Example: It will block www.hotmail.com, mail.yahoo.com, www.rediffmail.com

maytinhlion

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Mr. Tuấn

Cảm ơn quý khách đã đặt hàng - Liên hệ với kinh doanh để được giá tốt nhất - Hotline : 0989 642 293 Bỏ qua