как выборочно заблокировать ютуб?

Копай в сторону layer7 Либо используй address list, mangle и блэкхол

как выборочно заблокировать ютуб?

Но, но ютуб это https и поэтому забуть про l7

вопрос с заковыркой

пикабу например блочится по тлс хосту, ютубу пофиг

как выборочно заблокировать ютуб?

Что значит выборочно? Часть ютуба заблочить? Или заблочить его части юзверей?

пикабу например блочится по тлс хосту, ютубу пофиг

Ну ютуб «размазан» по серверам больше, чем пикабу)

в том то и дело

Адрес листам не пофигу ли?

начальник раз подошёл (не ко мне, мне друг рассказывал) и грит есть контора, надо ей настроить микротики чтобы блокировать соцсети и кароче всё что они скажут (не запретить всё и рразрешить некоторое, а наоборот), и спрашивает у меня выполнимая задача или нет... ну я посоветовал что угодно но не микротики)

Создаёшь адрес лист с названием youtube_block В поле адрес вписываешь YouTube.com

Маркируешь маршрут в мангле по дестенейшн лист

начальник раз подошёл (не ко мне, мне друг рассказывал) и грит есть контора, надо ей настроить микротики чтобы блокировать соцсети и кароче всё что они скажут (не запретить всё и рразрешить некоторое, а наоборот), и спрашивает у меня выполнимая задача или нет... ну я посоветовал что угодно но не микротики)

Не понимаю, чем именно вас микроты не устраивают?

И в роутинге весь трафик идущий с этой маркой

Направляешь в блэкхолл

У меня вон маршрутизация на 100к записей в адрес листах

Не понимаю, чем именно вас микроты не устраивают?

не подходят они для разбора хттпс

И все что угодно можно блочить

не подходят они для разбора хттпс

Им плевать что именно:)

Вы можете настроить так, что будет блочить все

Или только https

Все зависит от фантазии :)

для "заблочить всё" не нужна ума палата

Вплоть до блокировки днс запросов

Ну заблочить все еще проще:)

Блочить-то можно, но получится или нет - это вопрос. И, стесняюсь спросить, что именно хорошо подходит для "разбора https", если отбросить свои корневые сертификаты и sni?

Как сказали выше. В листы просто доменную запись добавляете и все. Блочите

Блочить-то можно, но получится или нет - это вопрос. И, стесняюсь спросить, что именно хорошо подходит для "разбора https", если отбросить свои корневые сертификаты и sni?

Зачем господи

Я вообще не понимаю, зачем блочить тока хттпс?

Зачем заглядывать в каждый пакет,если можно просто по дст адресу блочить ещё на л3

Зачем заглядывать в каждый пакет,если можно просто по дст адресу блочить ещё на л3

Плюсую вас :)

начальник раз подошёл (не ко мне, мне друг рассказывал) и грит есть контора, надо ей настроить микротики чтобы блокировать соцсети и кароче всё что они скажут (не запретить всё и рразрешить некоторое, а наоборот), и спрашивает у меня выполнимая задача или нет... ну я посоветовал что угодно но не микротики)

Это верно имхо) для таких целей лучше вообще взять фаерволл и не сношать себе мозги)

Зачем господи

Выше было сказано, что микротик не подходит для этого. Я согласен, но хотелось-бы знать, что по мнению коллеги подходит.

Это верно имхо) для таких целей лучше вообще взять фаерволл и не сношать себе мозги)

Или иметь мозги и настроить микротик нормально

Кому как удобнее

Или купить "фуйерфалл" с теми же самыми листами

Выше было сказано, что микротик не подходит для этого. Я согласен, но хотелось-бы знать, что по мнению коллеги подходит.

Он не подходит только потому, что вы не знаете как??

Зато установка в 1 клик

:DDD

Блочить всю фигню должна отдельная специализированная железка которая сделана для этой задачи.

Он не подходит потому, что это вообще вопрос сложнее, чем думают поклонники таких решений.

но это не относится к ситуациям где весь бюджет на полтора доширака, а сделать нужно как "у тех ребят"

Блочить всю фигню должна отдельная специализированная железка которая сделана для этой задачи.

Купите 750Gr3 и настройте его как фаерволл, со всякими PSD скопами и конекшн лимитами

В чем трабл

Дёшево и ничуть не хуже готовых решений

Дёшево и ничуть не хуже готовых решений

Да и зачастую "отдельные спец железки" - это то же самое :)

Просто за деньги в 300 раз дороже

Плавали - знаем

Ну если так уж хочется чего-то "Дорогого" и "Готового" то вот

https://www.cisco.com/c/en/us/products/security/asa-firepower-services/index.html

но дело такое, я молодой и глупый, сейчас пробую по вашим рекомендациям заблочить ютуб, если у меня получится (или у вас и вы мне докажете) то возьму свои слова обратно и прийму свою неправоту

но дело такое, я молодой и глупый, сейчас пробую по вашим рекомендациям заблочить ютуб, если у меня получится (или у вас и вы мне докажете) то возьму свои слова обратно и прийму свою неправоту

А вы хитрюга :D ша вон чат ломанется вам настраивать железку)

Глуши на излете

Но, ту же циску вы тоже будете настраивать ручками

И спец железку тоже

Тут как — Вы либо изучаете безграничные возможности RoS, параллельно задавая вопросы тут

либо платите за всякие цыски\жуниперы

и задаете вопросы официальной поддержке

Рекомендую вам официальную документацию микротика почитать, про адрес листы. Чтобы понимание было как оно работает

Или иметь мозги и настроить микротик нормально

Микротик не для этого придуман. Можно и его настроить и под это. На большой сети это как вырывать гланды через задницу: можно, но зачем?) И да, фаеры сетапать чутка сложнее чем тик)

есть удалённый обьект с двумя камерами, я туда впнюсь, дефолт роут у меня туда, я там уже играюсь с всякими листами и пробую. своей железки нету, поэтому так

А доказывать тут Вам никто ничего не будет

Микротик не для этого придуман. Можно и его настроить и под это. На большой сети это как вырывать гланды через задницу: можно, но зачем?) И да, фаеры сетапать чутка сложнее чем тик)

Микротик придуман для всего.

Уволить ннах отсель неверующего в ros!

можно подумать про цыски ничего знать не нужно )

Разве что какие-то суперкрупные highload решентя

может где-то не тянуть

ERROR: S client not available

и то

такое же мозгоплюйство + еще и платить надо за это ))))

Микротик не для этого придуман. Можно и его настроить и под это. На большой сети это как вырывать гланды через задницу: можно, но зачем?) И да, фаеры сетапать чутка сложнее чем тик)

Скажите пожалуйста, мне, глупому сетевику. Для чего же он придуман?

можно подумать про цыски ничего знать не нужно )

группа создана для помощи по микротику

Неужели.... чтобы дома вайфай раздавать?!

такое же мозгоплюйство + еще и платить надо за это ))))

ну там есть супорт

спасибо кэп

спасибо кэп

не так понял тебя)

Я считаю, что в микроте и его возможностях, упирается только в прямоту рук

такое же мозгоплюйство + еще и платить надо за это ))))

про циски сказал лишь потмоу, что у МТ пока нету того, что называется "Mikrotik Enterprise Firewall system standalone 228 ololo"

Скажите пожалуйста, мне, глупому сетевику. Для чего же он придуман?

как противовес и конкурентное решение по цене

И конечно же сетевые знания

+

Потому что даже если продаваемые РБшки

вам малы по мощности

то кто мешает юзать любое железо

с RoS

Даешь дир-300!

которое может асболютно всё что угодно

Даешь дир-300!

и ддврт

то кто мешает юзать любое железо

Вот вот. У меня есть и железный core и софтверный. Который живет на Xeon с кучей памяти и процев :)

И хлопот - забот не знаешь

и ддврт

Кстати до мт я юзал в офисе именно эту связку. Потом вступил в секту

Надо зароутить через 100500 хопов без каких-либо костылей? на

надо датчик на откритие двери без костелей?

на

Ах да. Это небольшой хайлоад у меня. 180к записей обрабатывает постоянно. + OSPF и еще как vpn gate

та что хочешь то и на

И работает идеально. Жрать-пить не просит

Скажите пожалуйста, мне, глупому сетевику. Для чего же он придуман?

Имхо, микрот подходит для небольших офисов. Что-то типа смолл бизнес) строить на тиках большие сети — не оч идея)

Не спорю, можно было бы на сисе сделать. Но зачем