Regla para bloquear paginas a usuarios determinados mikrotik, ejemplo facebook

zatarra · Mayo 27, 2015, 07:28:44 PM

Saludos, les dejo por aquí una manera que conseguí en un foro para bloquear paginas como facebook ha ciertos usuarios en tu red por medio de la ip que tengan asignada:

Ejemplo:
tu red es 192.168.0.0/24 y deseas Bloquear Facebook

1.- Deben ir /ip, firewall, Address list y crear una lista de ips o un segmento al que quieras bloquear el acceso a una pagina.

Name: bloqueo
Address:
- Puedes agregar la lista para una ip 192.168.0.10
- Puedes agregar la lista para toda la red 192.168.0.0/24
- Puedes agregar la lista para un pool de 192.168.0.10-192.168.0.20 (cuando lo escribes así el en algunos caso
te cambia automáticamente, si la pones de 192.168.0.10-192.168.0.11 se cambia a 192.168.010/31 te lo pone como una subred)
una vez listo el name y el address.

2.- Busca la IP del sitio haciendole ping, ping www.facebook.com -t , una vez que te aparezcan los pines ya no sera con el nombre sino con la ip, copiala...

3.- Agregamos estas lineas o la hacemos manualmente desde ella...

Código [Seleccionar]

/ip firewall filter
add action=drop chain=forward comment="Bloqueo Facebook" disabled=no dst-address=\
    31.13.73.0/24 out-interface=WAN protocol=tcp src-address-list=bloqueo

donde...
trabajamos con forward y tpc
dst-address=31.13.73.1, es la ip de facebook, yo puse el segmento /24 completo, pueden poner solo la ip si desean...
action=drop, es el drop q le queremos hacer a la ip que pusimos en dts-address.
Qut-interface=WAN, el nombre de tu interfaz donde tengas puesto el Internet, la acción se ejerce a la salida de la interfaz.
src-address-list=bloqueo, aquí pones el nombre de las lista de ip que creaste.

4.- Una vez creada la regla busquenla en /ip, firewall, filter rules y póngala de primera o a su juicio dependiendo de las reglas que ya tengan puestas.

Con esto ya deberían poder bloquear las paginas que necesiten y hacerlo para una ip, un pool o la red entera, hay otra manera de hacerlo por el web proxy de mikrotik pero como estamos usando el raptor cache esta es la ideal, espero les sea de ayuda... :)

djtalo · Abril 11, 2016, 08:29:54 PM

hola, y como puedo hacer para bloquera pero redirigir o mostrar algun mensaje como " pagina no autorizada"

Coliche · Abril 19, 2016, 07:08:59 AM

Hola y como puedo hacer para bloquearle el internet a un usuario por medio de la ip ???

luistec · Abril 19, 2016, 07:27:43 AM

Cita de: djtalo en Abril 11, 2016, 08:29:54 PM
hola, y como puedo hacer para bloquera pero redirigir o mostrar algun mensaje como " pagina no autorizada"

Para eso puedes usar el Web proxy de Mikrotik, o también puedes usar otro proxy como Squid por ejemplo y pones la regla para bloquear una lista de páginas.

Saludos.

luistec · Abril 19, 2016, 07:36:05 AM

Cita de: Coliche en Abril 19, 2016, 07:08:59 AM
Hola y como puedo hacer para bloquearle el internet a un usuario por medio de la ip ???

Si usas Mikrotik, puesar unar una regla drop en el Firewall Filter, por ejemplo si el IP es 192.168.1.3:

Código (mk) [Seleccionar]


/ip firewall filter
add action=drop chain=forward comment="User Drop" disabled=no src-address=192.168.1.3

Saludos.

Coliche · Abril 19, 2016, 12:39:55 PM

Cita de: luistec en Abril 19, 2016, 07:36:05 AM
Si usas Mikrotik, puedes usar una regla drop en el Firewall Filter, por ejemplo si el IP es 192.168.1.3:
Código (mk) [Seleccionar] Expandir
/ip firewall filter add action=drop chain=forward comment="User Drop" disabled=no src-address=192.168.1.3

Saludos.

Muchas gracias amigo se te agradece mucho.
Saludos...

tonyvzla · Abril 19, 2016, 08:38:12 PM

Cita de: luistec en Abril 19, 2016, 07:36:05 AM
Si usas Mikrotik, puesar unar una regla drop en el Firewall Filter, por ejemplo si el IP es 192.168.1.3:
Código (mk) [Seleccionar] Expandir
/ip firewall filter add action=drop chain=forward comment="User Drop" disabled=no src-address=192.168.1.3

Saludos.

Saludos luis, si quisera que tuvieran internet solo a ciertas paginas? y el restante drop?

luistec · Abril 21, 2016, 10:33:41 AM

Cita de: tonyvzla en Abril 19, 2016, 08:38:12 PM
Saludos luis, si quisera que tuvieran internet solo a ciertas paginas? y el restante drop?

Si esas páginas se pueden listar, puedes hacer un address list con sus IPs o también con layer 7 y luego a proceder a bloquear todo exepto esa lista.

Saludos.

djtalo · Abril 24, 2016, 06:48:31 PM

Cita de: luistec en Abril 19, 2016, 07:27:43 AM
Para eso puedes usar el Web proxy de Mikrotik, o también puedes usar otro proxy como Squid por ejemplo y pones la regla para bloquear una lista de páginas.

Saludos.

y como lo podria hacer con el web proxy

MyMnetworks · Junio 05, 2016, 10:06:16 PM

necesito bloquear urls de porno no dominios con mikrotik como lo hago, ademas de mostrar una web con un mensaje de bloqueo para el acceso a ese sitio

djtalo · Junio 17, 2016, 09:47:54 AM

Cita de: luistec en Abril 19, 2016, 07:27:43 AM
Para eso puedes usar el Web proxy de Mikrotik, o también puedes usar otro proxy como Squid por ejemplo y pones la regla para bloquear una lista de páginas.

Saludos.

saludos
y como podria redireccionar en el web proxy lo he intentado pero no resulta ya tengo varias web redireccionadas en web proxy pero solo me fuinciona http pero no para el caso de faccebook .lo que tengo hasta el momento es que al hacer www.facebook.com se bloquea y no abre la pagina es decir esta bloqueado pero muchos usuario quedan ahi esperando , la ideas es que les pararezca mi mensaje de bloqueo, me podria ayudar te lo agradeceria

firecold · Junio 29, 2016, 11:35:20 AM

En iptables se hace de este modo:

Código (bash) [Seleccionar]

iptables -I FORWARD -p tcp –dport 443 -m string –string 'facebook' –algo bm -j DROP

o una variante de blackhold que le parecio muy interesante y funciona:

Código (bash) [Seleccionar]

# BLOCK FACEBOOK
for i in $(/usr/bin/whois -h whois.radb.net '!gAS32934' | tr ' ' 'n' | sort -n -k1,1 -k2,2 -k3,3 -k4,4 |grep /)
do iptables -A FORWARD -d $i -j DROP
done

Y con esto bloqueas facebook, como tambien con algunos cambios cualquier sitio web, Saludos

lem13631363 · Julio 16, 2016, 05:35:29 PM

firecold vero que sabes muchisimo de esto felicidades

xstvx · Julio 26, 2016, 10:48:31 AM

hola buenas tardes si quiero bloque un bloque por ejemplo
192.168.1.0/24
pero quiero darle acceso algunas pcs del bloque de la red como se podria hacerpor ejemplo alas IPs:
192.168.1.10 acceso al face
192.168.1.11 acceso al face
gracias

zatarra · Septiembre 10, 2016, 04:34:18 PM

Cita de: xstvx en Julio 26, 2016, 10:48:31 AM
hola buenas tardes si quiero bloque un bloque por ejemplo
192.168.1.0/24
pero quiero darle acceso algunas pcs del bloque de la red como se podria hacerpor ejemplo alas IPs:
192.168.1.10 acceso al face
192.168.1.11 acceso al face
gracias

Ok vas hacer lo siguiente:
1ero - Creas la regla general para toda la red 192.168.1.0/24:

Código [Seleccionar]

/ip firewall filter
add action=drop chain=forward comment="Bloqueo Facebook" disabled=no dst-address=\
    157.240.0.0/24 out-interface=WAN protocol=tcp src-address-list=bloqueo

2do - Creas una Address list para cada ip que va a navegar, en este caso serian una para la 192.168.1.10 la nombras pc1 y otra para la 192.168.1.11 pc2:

Código [Seleccionar]

Name: pc1
Address:192.168.1.10

Name:pc2
Address: 192.168.1.11

3ro Para cada nueva address list crearas la siguiente regla igual a la general pero cambiando drop por accept y la addres list que le correspondan ejemplo:

Código [Seleccionar]

/ip firewall filter
add action=accept chain=forward comment="Accept Facebook PC1" disabled=no dst-address=\
    157.240.0.0/24 out-interface=WAN protocol=tcp src-address-list=pc1
add action=accept chain=forward comment="Accept Facebook PC2" disabled=no dst-address=\
    157.240.0.0/24 out-interface=WAN protocol=tcp src-address-list=pc2

4to - Por ultimo y muy importante estas reglas deben in en el firewall por encima de la general, para que esta no tenga efecto sobres las reglas accept...
te dejo el link de la imagen de como debe quedar http://imgur.com/Wljmlw3