Микротик Ограничение Скорости по ip • Firewall action

Микротик Ограничение Скорости по ip • Firewall action

F1

Ну и дальше в queue указывать маркировку пакетов из бриджа, как мы уже делали ранее. Я на практике это не проверял, так как не смог смоделировать на своем тестовом стенде. У меня все абоненты подключены к одному сетевому интерфейсу микротика. Таким образом можно строить практически аналогичные деревья классов, как и для Queue Trees за тем исключением, что здесь оперировать будем не пакетами и потоками, а адресами. С его помощью можно организовать динамический шейпинг, о котором много где говорят, но толковая реализация автору ещё не встречалась ни в одном продукте.

MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik

Первый, самый простой и понятный способ обезопасить детишек от «взрослого» контента — это установить безопасный DNS.

Что такое DNS (Из Яндекса)
DNS — это адресная книга интернета, где указан цифровой адрес каждого сайта. Например, yandex.ru «живёт» по адресу 213.180.204.11.
Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS. Чем быстрее работает ближайший к вам DNS-сервер, тем быстрее откроется сайт.

Конечно, можно установить его для всех и забыть, но как же «вот это всё» для взрослых?

Второй способ более редкий, но отвечая на вопрос подписчика я не мог его не упомянуть. Речь идёт о двух разных провайдерах или каналах (модемах), с интернетом для детей и для всех остальных соответственно. Здесь в отличие от первого способа, мы направляем весь избранный трафик исходящий от детей в нужный нам канал.

Список IP адресов в MikroTik

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне!
Задать вопрос эксперту
Этот способ удобно использовать когда список сетей или адресов на ограничение часто меняется, тогда их просто можно добавлять или удалять в адресных листах. Если у вас не выходит разобраться в проблеме, пишите мне!

Делим Интернет или QoS на Mikrotik — Блог ITшника

Контент фильтр на основе DNS

Начнём. Первое что нужно сделать, это выделить наших Пашу и Машу из сети с минимальными изменениями в конфигурации маршрутизатора. Как это сделать? Очень просто! Так как фильтруем мы запросы при помощи безопасного DNS, то всё что нам нужно для этого, это направить все DNS запросы Паши и Маши в нужное русло.

Фиксация IP адресов

Список IP адресов

Список IP адресов в MikroTik

Следующим действием нужно создать адрес лист с устройствами наших детишек. Назовём его «Kids». Вводить название нужно только один раз. После добавления первого адреса, список уже будет существовать, его нужно будет просто выбрать.
Список IP адресов в MikroTik

А что для Вас главное в смартфоне?
ТрендовостьНадежность

Это два обязательных шага для первого и второго способа.

Трансляция DNS запросов

Выбираем список адресов «Kids» который мы создали ранее.
Трансляция DNS запросов в MikroTik

Выбираем действие «netmap», указываем адрес Яндекс.DNS 77.88.8.7 и копируем правило (не обязательно).
Трансляция DNS запросов в MikroTik

В скопированном правиле меняем UDP на TCP и сохраняем оба правила.
Трансляция DNS запросов в MikroTik

Теперь можно попробовать открыть не желательный сайт с устройства ребёнка и проверить результат.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.
Яндекс.DNS

Важно. Это не время работы Burst, как я видел в некоторых описаниях в интернете. Значение average-rate рассчитывается каждую 1/16 интервала burst-time Этот способ удобно использовать когда список сетей или адресов на ограничение часто меняется, тогда их просто можно добавлять или удалять в адресных листах. Увеличит количество отбрасываемых пакетов так как буфер меньше и заставит источник повторно отправить пакет, тем самым сократив задержку.

Блокировка нежелательных ресурсов

Один из самых сложных и ответственных вопросов. Мы уже обсуждали вопрос блокировки на основе списков в наших статьях, но в данном случае это поможет мало. Одно дело — заблокировать наиболее популярные ресурсы-пожиратели времени в офисе и совсем иное — оградить детей от всего возможного объема нежелательной информации. Здесь нам на помощь придут специализированные DNS.

Первое, что приходит на ум, это Яндекс.DNS Семейный и аналогичные сервисы других DNS-провайдеров. Но, на наш взгляд, для детей младшего возраста такой фильтрации недостаточно, так как Яндекс Семейный фильтрует только явные материалы 18+, оставляя очень много неоднозначного контента за бортом.

Поэтому для наиболее полной фильтрации мы используем сервис SkyDNS, который представляет гораздо более специализированное коммерческое решение, тариф SkyDNS.Домашний обходится всего в 395 руб/год, что по силам любому семейному бюджету. Сервис имеет гибкие настройки и позволяет достаточно тонко управлять блокируемыми тематиками.

parental-control-mikrotik-004.png

Мы будем использовать оба DNS-сервиса, Яндекс для более взрослых детей, которых уже не требуется ограждать от всего и вся и SkyDNS для младших, которым пока требуется более безопасная выдача.

На закладке Advanced в поле Src. Address List выбираем нужный нам список устройств.

Затем сделаем копию этого же правила для протокола tcp.

Это же действие в терминале:

В результате у вас должен получиться набор правил для каждой группы устройств, обратите внимание, что правило для группы общих устройств выделено красным и снабжено комментарием # inactive time, в данный момент указанные нами условия не выполняются и такое правило применено не будет.

При использовании общих устройств учитывайте такой момент, как локальный DNS-кеш и DNS-кеш браузера. Что может привести к тому, что блокировки не будут работать, несмотря на то что правило активно. Как правило, в большинстве случаев, достаточно перезапустить браузер, но это помогает не всегда. Поэтому имейте это ввиду при посещении ресурсов на общих устройствах.

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне!
Задать вопрос эксперту
Я хотел бы поделиться своими настройками Firewall с защитой от сканирования портов и от подбора паролей, а так же настройкой QOS на примере моего mikrotik. Если у вас не выходит разобраться в проблеме, пишите мне!

Mikrotik-mtcna/ at master · translaster/mikrotik-mtcna · GitHub

Ограничение времени доступа в интернет при помощи функции Kid Control

parental-control-mikrotik-016.png

Таким образом получим еще один список, содержащие записи детей и расписание доступа в сеть для них, заблокированная запись обозначается в списке флагом B.

Блокировка устройств, связанных с записью, осуществляется при помощи динамически формируемых правил брандмауэра, которые запрещают прохождение транзитных пакетов от устройства и к нему.

При указании даты есть свои особенности, формат записи не поддерживает значение секунд отличное от нуля, поэтому для окончания суток вместо 23:59:59 используйте запись вида 1d 00:00:00.

Следующий момент — ограничение скорости не работает при включенном Fasttrack, отключение которого может привести к высокой нагрузке на процессор, поэтому для слабых роутеров такой вариант скорее всего будет неприменим. Да и скажем честно, ограничение скорости — нетипичный сценарий для домашнего использования.

Также мы неоднократно наблюдали высокую нагрузку на CPU просто при включении ограничения времени доступа, что может сделать применение Kid Control на слабых устройствах невозможным. Но это не является серьезной проблемой, ограничение по времени можно без особых проблем реализовать обычными правилами брандмауэра.