MikroTikおよび不要なサイトのブロック（youtubeおよびfacebookの例）

この記事を書くことに触発されたのは、年長の子供が夜遅くまで寝るのではなく、夜遅くまでスマートフォンでYouTubeであらゆる種類のビデオを見始めたという事実と、ホームルーターをTP-Link TL-WR1043NDでMikroTik RB951Gに置き換えたことです-2HnD。



インターネットを勉強した後、私はYouTubeのMikrotikチャンネルで2017年のプレゼンテーションに出会いました。 それは、それをしない方法と正しい方法を説明しました。 おそらく、MikroTikとRouterOSの多くの上級ユーザーにとってこれは発見ではないでしょうが、私のような初心者ユーザーがインターネットで提供されるオプションの荒野で迷子にならないのに役立つことを願っています。



インターネットで頻繁に提供されるオプションから始めましょう（ これを行う必要はありません!!! ）：

● /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$" add name=facebook regexp="^.+(facebook).*$" ● /ip firewall filter add action=drop chain=forward layer7-protocol=facebook add action=drop chain=forward layer7-protocol=youtube
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このソリューションには次の欠点があります。高いCPU負荷、遅延の増加、パケット損失、youtube、facebookはブロックされません。



なぜこれが起こっているのですか？ 各接続は何度もチェックされ、Layer7は間違った場所でチェックされるため、すべてのトラフィックがチェックされます。

正しい決断

Layer7の正規表現ルールを作成します。

 ● /ip firewall layer7-protocol add name=youtube regexp="^.+(youtube).*$"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

YouTubeのみをブロックしました。Facebookなどが必要な場合は、個別のルールが作成されます

 add name=facebook regexp="^.+(facebook).*$"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

他のビデオストリーミングサービス用のルールを作成できます。オプションの1つを次に示します。

 regexp=”^.*youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com).*$”
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、接続とパッケージをマークするためのルールを作成します。

 ● /ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

およびファイアウォールフィルターのルール：

 ● /ip firewall filter add action=drop chain=forward packet-mark=youtube_packet add action=drop chain=input packet-mark=youtube_packet
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

私のホームネットワークでは、dhcpを介して静的IPアドレスが配信されるため、子供のスマートフォンのIPアドレスにフィルターを適用し、アドレスのグループを作成して適用できます。 メニューIP> Firewall> AddressListに移動し、 Addボタンをクリックして、グループ名を入力し、ブロックするアドレスのリストに記入することを忘れないでください。



次に、 IP> Firewall> Mangleに移動し、 Srcフィールドでmark_connectionとmark_packetを選択します。 ブロックされたIPまたはグループでドライブするアドレス 。







それだけです。デバイスはYouTubeなしで、頑丈ですが、教育目的に必要でした。



これらのルールをスケジュールに適用することもできます。



不正確な点に気付いた場合は、コメントと修正をさせていただきます。 これはHabréに関する私の最初の記事です。 YoutubeのMikroTikチャンネルの素材に基づいています。 注意、この記事は子供のインターネットへのアクセスを制限する方法についてではなく、YouTubeへのアクセスを制限することは一例です。 不要なリソースへのアクセスを制限する方法の1つに関する記事。



Updt1、 avelor 、macブロックから：

  ● /ip firewall filter add chain=input src-mac-address=aa:bb:cc:dd:ee:ff action=drop add chain=forward src-mac-address=aa:bb:cc:dd:ee:ff action=drop
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

dhcpでブロックすることもできます-リースを行い、アクセスをブロックするをクリックします