video.vk.com )))

egexp="^.*(get|GET).+(vk.com|ok.ru|vk.me).*\$" ?

L7 дорого

L7 дорого

по ресурсам?

сквида на любом кусочке виртуальной машины

удобнее всего - заворачивать на проксю и на ней вырезать всю эту полюбень под самый корень

не прокатило, либо не правильно настроил

не прокатило, либо не правильно настроил

второе)

Попробуйте L7 в общем)

Правда не уверен что прям все вырежет

Попробуйте L7 в общем)

ок

Но для примера с торрентами у меня отлично справляется

прям на 99%

ок

https://toster.ru/q/234245

по ресурсам?

да

Чем DNS не устраивает?

По л7 как то блокировал и ютуб и вк.

Чем DNS не устраивает?

дык ни кто ж не говорил, что не устраивает

не прокатило, либо не правильно настроил

возможно, у меня там сотрудники не настолько мозговитые, но помогло простое: acl sochren dstdomain .ok.ru и прочие http_access deny sochren

Только переводил в hex формат

@IlyaKnyazev пока вы тут, подскажите, как мне через traffic-flow собирать инфу не по IP, а по доменам?)

И тогда отлично блочит

@IlyaKnyazev пока вы тут, подскажите, как мне через traffic-flow собирать инфу не по IP, а по доменам?)

Только реверс-запросами на анализаторе

Ivan, попробуй ELK

Только реверс-запросами на анализаторе

А есть такое? А как правильно загуглить?)

у меня маркетологи требуют эту инфу, а я прям хз что им ответить)

И IP их явно не устроят

Ivan, попробуй ELK

чуть по-подробнее

чуть по-подробнее

Elasticsearch,Logstash,Kibana - ELK

Elasticsearch,Logstash,Kibana - ELK

спс, погуглю

Logstash может оборачивать и добавлять любую инфу. Удобно

Из логсташа можно данные хоть в заббикс пихать, хоть в бд, хоть в csv файл

Logstash может оборачивать и добавлять любую инфу. Удобно

мне бы портальчик, который актуальные данные по ip - domain name содержит)

нахуа?

/ip dns set allow-remote-requests=yes /ip dns static add address=1.1.1.1 regexp="[*.vk.com]" /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp Объезжайте. Вместо 1.1.1.1 можете указать IP сайта superjob.ru

Если есть у адреса ptr-запись, то домен можно увидеть

нахуа?

выше писал - что бы через netflow собирать стату, куда пользователи ходят. Маркетологи хотят)

у вк и ок целые подсетки

/ip dns set allow-remote-requests=yes /ip dns static add address=1.1.1.1 regexp="[*.vk.com]" /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp Объезжайте. Вместо 1.1.1.1 можете указать IP сайта superjob.ru

вот с суперджобом - очень тонко)

)

Я на самом деле не вижу никакого смысла в таких блокировках. Юзер будет сидеть с телефона или планшета по 3G/4G. И один черт, ничего не делать. Тут вопрос к менеджменту

@IlyaKnyazev кстати, в хотспотах - редирект на днс уже есть среди динамических правил, верно?

Не помню )) Но там все хитрее. Хотспот будет работать даже если у клеинта статикой стоит левая подсеть, левый ДНС и левый шлюз.

просто тут есть необходимость фильтровать DNS через свой bind

и как бы вот хочется что бы даже если статикой прописаны свои DNS - слалось на фух

*йух

Я сначала 2 правила написал, но потом где то нагуглил, что оно по-умолчанию так работает

вроде так можно же

и как бы где истина в итоге?)

редирект и нат по необходимости если будут проблемы с src/dst

хотя могу и ошибаться

/ip dns set allow-remote-requests=yes /ip dns static add address=1.1.1.1 regexp="[*.vk.com]" /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp Объезжайте. Вместо 1.1.1.1 можете указать IP сайта superjob.ru

а регекспы всегда работали?

и как бы вот хочется что бы даже если статикой прописаны свои DNS - слалось на фух

Так редирект в НАТ и вперед

а регекспы всегда работали?

В смысле?

как то сталкивался просто с необходимостью но помню что найти не мог.

найти в винбоксе

Так редирект в НАТ и вперед

да, но просто не хочется городить лишние правила, если они уже есть "из коробки")

/ip dns set allow-remote-requests=yes /ip dns static add address=1.1.1.1 regexp="[*.vk.com]" /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp Объезжайте. Вместо 1.1.1.1 можете указать IP сайта superjob.ru

в этом случае тоже vk.com заблокирован, vk.com/username - работает как и прежде

в этом случае тоже vk.com заблокирован, vk.com/username - работает как и прежде

А вот этого не может быть )))

Там именно выдача IP на домен

То что за / это уже к веб-серверу

А вот этого не может быть )))

может он лезет через ipip-tunel и провайдера нашего филиала?

Скорее у юзера свой ДНС и вы не поставили редирект. Или в кеше запись

?*

Оо

а версия винбокса у вас какая?

А при чем винбокс?

ERROR: S client not available

РоутерОС 6.37

А при чем винбокс?

Потому что винбокс - графическая оболочка

Тьфу, ну ты понял.

Если винбоксе добавили строку - она есть

Потому что винбокс - графическая оболочка

Винбокс загрузчик, который тянет библиотеки с роутера. Download Plugins это именно оно.

Винбокс загрузчик, который тянет библиотеки с роутера. Download Plugins это именно оно.

Ах, ну да, именно поэтому в версии 3.9 было некактивно поле "ports" в настройках фаерволла.

Поле ports неактивно если вы протокол не выбрали работающий с портами

Скорее у юзера свой ДНС и вы не поставили редирект. Или в кеше запись

это канешн сработало, но! путем отвалившегося инета! :D у меня DNS не на микроте

Поле ports неактивно если вы протокол не выбрали работающий с портами

А, ну да, спасибо что назвали тупым.

Ну так сделайте так что у микртика DNS ваш внутренний, и исключите его адрес из редиректа

РоутерОС 6.37

Спасибо. Тот не ловкий момент когда давно не читал changelog'и)

сижу еще на 6.36.4 bugfix

В 6.36 вродет тоже было

А, ну да, спасибо что назвали тупым.

Я могу предположить что это глюк винбокса. Но это не отменяет того факта, что "все окошечки" тащатся с роутера.

Я могу предположить что это глюк винбокса. Но это не отменяет того факта, что "все окошечки" тащатся с роутера.

Илья, а с какой целью тогда пишут что для определенной версии RoS нужна такая то версия винбокса?

потому что фунцкионал по отображению этих окошек заложен в винбокс

сижу еще на 6.36.4 bugfix

Да в GUI появилось в 6.37

Илья, а с какой целью тогда пишут что для определенной версии RoS нужна такая то версия винбокса?

Иногда меняется формат библиотек ИМХО. Тот же hAP Lite не соместим с Winbox 2.x

Но для примера с торрентами у меня отлично справляется

Как победили расскажите?

Как победили расскажите?

^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20?\x08'7P\)[RP]

Как победили расскажите?

^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits|rutracker|rutor|tfile|torrentino|nnm-club|megashara|tracktor|t-ru).*$

Ойблйа

А вообще я в челенджлоге RC видел, что они поправили p2p

что бы по всем актуальным правилам p2p ловить

Опробуем

Спачибо

Забавно аукнулись настройки теперь все лезет на 1.1.1.1, даже после восстановления из бэкапа, перезагрузки dns-сервера и всего сетевого оборудования

))

абсолютно все :D

ну теперь точно на вконтакте не полезут

ога. результат достигнут

вобще там в винде на сколько я помню есть кеш днс