Mikrotik — наверное, единственный из доступных для малого и среднего бизнеса роутеров, в котором можно залезать и фильтровать данные, находящиеся на уровне пользовательских приложений.
Именно поэтому на Mikrotik можно настроить правила фильтрации, которые срабатывают на определенный контент и могут надежно заблокировать такой тип трафика как:
— Skype
— Torrent
— VPN
— ICQ и прочие IM
и многое другое.
Поэтому, если от руководства или службы безопасности вам поступают такие запросы, после вебинара вы будете знать, как это настраивается!
P.S. Вообще, залезать в данные, находящиеся на L7 - это определенная магия.
Но что делать, если данные идут по HTTPS, ведь внутрь туда не залезть, скажете вы и будете правы. Однако, и тут есть решение, о котором мы немного расскажем на вебинаре. А подробно и с демонстрацией - на другом вебинаре, по фильтрации HTTPS-трафика.
2. Вопросы вебинара
2
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
.
.
Курсы по Mikrotik с гарантией результата
• Общий принцип работы L7 на оборудовании mikrotik
• Пример настройки фильтрации социальных сетей
• Решение задачи – заблокировать все сайты кроме
яндекс картинок
• Варианты оптимизации нагрузки на роутер
3. Общий принцип работы L7 на оборудовании mikrotik
3
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
Курсы по Mikrotik с гарантией результата
• Layer7 protocol – это метод поиска по шаблонам (регулярным
выражениям) определенных данных в TCP/UDP и ICMP потоках.
• Данный протокол просматривает первые 10 пакетов или 2KB
каждого установленного соединения и ищет совпадения по
регулярному выражению.
• Если совпадений нет, то дальнейший поиск прекращается и
соединение, считается неизвестным для L7 фильтра.
• Добавление регулярных выражений находится в
/ip firewall layer7-protocol
• Для снижения нагрузки на маршрутизатор лучше работать с
помеченными соединениями.
• Если есть любые другие варианты идентификации трафика-
используем их.
4. Пример настройки фильтрации социальных сетей
4
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
Курсы по Mikrotik с гарантией результата
• Регулярное выражение для блокировки сайтов
/ip firewall layer7-protocoladd name=socseti
regexp="^.*(vk.com|vkontakte|odnoklassniki|odnoklasniki|faceboo
k|my.mail.ru|ok.ru|twitter.com|urod.ru|yaplakal.com|fishki.net|youtube).*$”
• Пример ”плохой” настройки блокировки с использованием фильтра L7
/ip firewall filter add action=reject chain=forward comment=L7 dst-
port=80,443 layer7-protocol=socsety protocol=tcp reject-with=tcp-reset
5. Пример настройки фильтрации социальных сетей
5
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
Курсы по Mikrotik с гарантией результата
• Регулярное выражение для блокировки сайтов
/ip firewall layer7-protocoladd name=socseti
regexp="^.*(vk.com|vkontakte|odnoklassniki|odnoklasniki|faceboo
k|my.mail.ru|ok.ru|twitter.com|urod.ru|yaplakal.com|fishki.net|youtube).*$”
• Пример ”правильной” настройки блокировки с использованием фильтра L7
/ip firewall mangle add action=mark-connection chain=prerouting
comment="L7 social" connection-mark=no-mark dst-port=80,443 layer7-
protocol=socsety new-connection-mark=block passthrough=yes protocol=tcp
/ip firewall mangle add action=mark-connection chain=prerouting comment=no-mark
connection-mark=no-mark new-connection-mark=no-mark passthrough=yes
/ip firewall filter add action=reject chain=forward connection-mark=block
protocol=tcp reject-with=tcp-reset
6. Пример настройки фильтрации социальных сетей
6
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
.
Курсы по Mikrotik с гарантией результата
• Регулярное выражение для блокировки сайтов
/ip firewall layer7-protocoladd name=socseti
regexp="^.*(vk.com|vkontakte|odnoklassniki|odnoklasniki|faceboo
k|my.mail.ru|ok.ru|twitter.com|urod.ru|yaplakal.com|fishki.net|youtube).*$”
• Пример ”правильной” настройки блокировки с использованием фильтра L7
/ip firewall mangle add action=mark-connection chain=prerouting
comment="L7 social" connection-mark=no-mark dst-port=80,443 layer7-
protocol=socsety new-connection-mark=block passthrough=yes protocol=tcp
/ip firewall mangle add action=mark-connection chain=prerouting comment=no-mark
connection-mark=no-mark new-connection-mark=no-mark passthrough=yes
/ip firewall filter add action=reject chain=forward connection-mark=block
protocol=tcp reject-with=tcp-reset
7. Решение задачи – заблокировать все сайты кроме яндекс
картинок
7
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
.
Курсы по Mikrotik с гарантией результата
• Создаем адрес лист с разрешенными сайтами
/ip firewall address-list
add address=yandex.ru list=allow_site_tort
add address=www.yandex.ru list=allow_site_tort
add address=mail.yandex.ru list=allow_site_tort
add address=passport.yandex.ru list=allow_site_tort
add address=disk.yandex.ru list=allow_site_tort
add address=market.yandex.ru list=allow_site_tort
add address=yastatic.net list=allow_site_tort
add address=m.market.yandex.ru list=allow_site_tort
add address=avatars.mds.yandex.net list=allow_site_tort
9. Решение задачи – заблокировать все сайты кроме яндекс
картинок
9
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
.
Курсы по Mikrotik с гарантией результата
• Правила фильтрации по отмаркированными соединениям
/ip firewall filter add action=accept chain=forward connection-mark=images dst-
port=80,443 protocol=tcp
/ip firewall filter add action=accept chain=forward connection-mark=ya.ru dst-
port=80,443 protocol=tcp
/ip firewall filter add add action=reject chain=forward connection-mark=http
protocol=tcp reject-with=tcp-reset
10. Варианты оптимизации нагрузки на роутер
10
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
.
Курсы по Mikrotik с гарантией результата
• Использовать любые другие методы фильтрации – DNS, Proxy, Firewall
• Использовать для ограниченного другими условиями трафика
• Работать с помеченными соединениями
• Для блокировки torrent трафика использовать адрес листы