Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

MikroTik i blokiranje video streaminga

[es] :: Wireless :: Mikrotik :: MikroTik i blokiranje video streaminga

[ Pregleda: 5014 | Odgovora: 16 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

patak_daca

Član broj: 72199
Poruke: 418
*.static.isp.telekom.rs.



+1 Profil

icon MikroTik i blokiranje video streaminga26.03.2015. u 10:50 - pre 109 meseci
Pozdrav!

Kako da blokiram video streaming na mikrotiku pomoću Layer7Protocols ?

Koristim WinBox..

Hvala!

Pozdrav!
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.ptt.rs.



+79 Profil

icon Re: MikroTik i blokiranje video streaminga26.03.2015. u 11:19 - pre 109 meseci
Treba da nađeš L7 regexp za rtmp, rtsp i http-video (port 80)... možda čak i na portu 443 zbog YT...
pošto koristiš WinBox dodaš regexp u ip->firewall->layer7 protocols - daš mu neko ime
onda u ip->firewall->filter dodaš drop pravilo na odgovarajući interfejs sa tim l7 protokolom što si napravio... nisi napisao da li želiš da blokiraš video streaming u LAN-u ili sa WAN strane?
mada mislim da je najbolj način transparentni proxy to nije bilo pitanje... pitanje je bilo "Kako da blokiram video streaming na mikrotiku pomoću Layer7Protocols ?" :)
 
Odgovor na temu

patak_daca

Član broj: 72199
Poruke: 418
*.static.isp.telekom.rs.



+1 Profil

icon Re: MikroTik i blokiranje video streaminga26.03.2015. u 11:44 - pre 109 meseci
Pozdrav!

Hvala puno!
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1020

Sajt: rajco.me/blog


+45 Profil

icon Re: MikroTik i blokiranje video streaminga26.03.2015. u 12:20 - pre 109 meseci
U zavisnosti od količine saobraćaja možeš imati problem sa performansama rutera kada radiš proveru po L7 pravilima pošto se ispituje svaki paket. Ni jedno rešenje za blokiranje sabraćaja sa MT nije idealno (DNS, IP, Proxy...).
rajco.me/blog

 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.ptt.rs.



+79 Profil

icon Re: MikroTik i blokiranje video streaminga26.03.2015. u 13:11 - pre 109 meseci
zato je OpenDNS, što se mene tiče idealno rešenje za SOHO varijante... ne opterećuje ruter, a ne košta ništa...
jedino što meni nije uspelo da podesim na MT-u forsisranu DNS redirekciju na OpenDNS... da ne bi klijenti mogli da postavljaju svoje public dns servere i tako zaobiđu restrikcije...
probao sm ovo ali ne radi

Code:
/interface bridge settings set use-ip-firewall=yes
chain=dstnat action=dst-nat to-ports=53 src-address=192.168.1.1/24
dst-address=208.67.220.220 dst-port=53 protocol=udp
chain=dstnat action=dst-nat to-ports=53 src-address=192.168.1.1/24
dst-address=208.67.220.220 dst-port=53 protocol=tcp


 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: MikroTik i blokiranje video streaminga26.03.2015. u 18:18 - pre 109 meseci
Ako su uvijek "isti" racunari u mrezi, onda ide lijepo sa:
DHCP server, podesen na "static only" - sa ARP replay only na inteface... pa u DHCP podesis DNS koji zelis. I kad sve podesis kako treba, nema rucnog mjenjanja ip/dns na masini. Samo ono sto dobije podesavanja od DHCP moze proci kroz ruter

I trebace skripta da se autorizujes na OpenDNS
Pretpostavljam da o tome ima vise ovdje:
http://forum.mikrotik.com/viewtopic.php?t=77757
 
Odgovor na temu

patak_daca

Član broj: 72199
Poruke: 418
*.static.isp.telekom.rs.



+1 Profil

icon Re: MikroTik i blokiranje video streaminga27.03.2015. u 07:33 - pre 109 meseci
Pozdrav!

Hvala puno na odličnim odgovorima!!

Patak
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 14:45 - pre 109 meseci
Citat:
yolja624:
Ako su uvijek "isti" racunari u mrezi, onda ide lijepo sa:
DHCP server, podesen na "static only" - sa ARP replay only na inteface... pa u DHCP podesis DNS koji zelis. I kad sve podesis kako treba, nema rucnog mjenjanja ip/dns na masini. Samo ono sto dobije podesavanja od DHCP moze proci kroz ruter

I trebace skripta da se autorizujes na OpenDNS
Pretpostavljam da o tome ima vise ovdje:
http://forum.mikrotik.com/viewtopic.php?t=77757



Ovo uopste nije tacno odnosno ne resava problem. DHCP ne moze da se koristi kao security mehanizam za bilo sta niti je za to namenjen. Ovo sto je navedeno iznad ce samo naterati klijenta da zatrazi podesavanja od dhcp-a i da, ako hoce da komunicira sa defaul gateway-om, mora da koristi tu adresu. Sve ostalo moze a ne mora da bude.

Dovoljno je da se klijentu kaze da uzima adresu od dhcp-a ali da uvek koristi staticke zapise za dns. Na taj nacin je ispunio uslov da je uzeo adresu koja je dodata u arp default gateway-a ali i dalje moze da koristi dns koji god zeli.

Potrebno je na firewall-u jednostavno onemoguciti forward na portovima tcp/udp 53.
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 15:04 - pre 109 meseci
U vecini slucajeva dovoljno! Vecina korisnika nece drndati DNS u podesavanju kartice. Naravno da nije namjenjen kao security, ali moze da odradi posao.
Naravno, samim blokiranjem porta 53 dobijas "dodatno" vezivanje podesavanja DNS na sam ruter i ono sto mu DHCP daje.

Ni jedno rjesenje nije bez mane pa ni ovo. I sad daj ti rjesenje problema a ja cu probati da ga zaobidjem.

[Ovu poruku je menjao yolja624 dana 29.03.2015. u 16:16 GMT+1]
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.dynamic.isp.telekom.rs.



+79 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 15:59 - pre 109 meseci
kod iptables i na linuxu se radi sa sledećom komandom...

Code:
iptables -t nat -I PREROUTING -i br1 -p udp --dport 53 -j DNAT --to 208.67.220.220
iptables -t nat -I PREROUTING -i br1 -p tcp --dport 53 -j DNAT --to 208.67.220.220


u PREROUTING chain-u, dakle pre nego paketi dođu ruteru na odlučivanje, na interfejsu br1 (bridž na kome je VAP za goste) koji imaju tcp i udp port 53 kao odredište,
se presreću i radi "destination nat" na DNS server OpenDNS-a...
klijent može menjati na kartici šta hoće, ali mu ne prolazi jer ruter pre rutiranja usmeri pakete na OpenDNS...

e, sad... meni ovo na RoS-u nije uspelo jer on koristi ipchains i ne znam kako da promenim ovu iptables komandu... iz Webif-a takođe ne mogu jer nema PREROUTING chaina u
Firewall-Filter rules-Add new...
u NAT ima dnat ali ne i PREROUTING...

naravno ovo je moguće zaobići direktnim kucanjem IP adrese ali sumnjam da će neko znati baš sve IP adrese svih servera... tako da i dalje mislim da je ovo dobro rešenje...
samo neko ko se razume u ipchains treba da smisli kako da firewall presreće DNS zahteve...
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.dynamic.isp.telekom.rs.



+79 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 16:03 - pre 109 meseci
ali postoji dst nat akcija
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 16:03 - pre 109 meseci
dok se neko ne sjeti nekog VPN a onda "zbogom oruzje" :D
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
2001:470:1f15:126d:.*



+79 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 16:14 - pre 109 meseci
pa dobro slažem se... uglavnom se slažem... moguće je i ovo zaobići koristeći Proxy DNS i slušanjem na nestandardnom portu (koji nije 53)...
ali, ja sam rekao da za SOHO varijante... postoje regexp-i i za VPN... pa onda blokiranja VPN passthrough... pa možeš i na OpenDNS dodati 20-ak custom domain-a za blokiranje... itd, itd...

idealnog rešenja nema jer ko je odlučio da probije zaštitu, probiće je...
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: MikroTik i blokiranje video streaminga29.03.2015. u 17:13 - pre 109 meseci
Bas tako :D
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: MikroTik i blokiranje video streaminga30.03.2015. u 09:08 - pre 109 meseci
Citat:
yolja624:Ni jedno rjesenje nije bez mane pa ni ovo. I sad daj ti rjesenje problema a ja cu probati da ga zaobidjem. :D


Pa eto, dadoh predlog :)

Omogucis input/output tcp/udp 53 a onemogucis forward tcp/udp 53. E sad, daj ideju kako da se prodje a da nije vpn?
 
Odgovor na temu

patak_daca

Član broj: 72199
Poruke: 418
*.static.isp.telekom.rs.



+1 Profil

icon Re: MikroTik i blokiranje video streaminga30.03.2015. u 10:24 - pre 109 meseci
Pozdrav!

Hvala Vam puno!!
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: MikroTik i blokiranje video streaminga30.03.2015. u 17:21 - pre 109 meseci
Citat:
Informer:
Citat:
yolja624:Ni jedno rjesenje nije bez mane pa ni ovo. I sad daj ti rjesenje problema a ja cu probati da ga zaobidjem. :D


Pa eto, dadoh predlog :)

Omogucis input/output tcp/udp 53 a onemogucis forward tcp/udp 53. E sad, daj ideju kako da se prodje a da nije vpn?


Pa ja vec dadoh - vpn :D
Nebitno, skontali smo sta pricamo.
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: MikroTik i blokiranje video streaminga

[ Pregleda: 5014 | Odgovora: 16 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.