Como bloquear Facebook Youtube no Mikrotik

Saudações!

Uma das coisas mais complicadas é o Youtube, devido ao fato de compartilhar servidores com outros serviços como o buscador da Google, Gmail etc, além de ter cache em servidores que não são da Google, assim se bloquear os IPs bloqueia coisas que não poderiam ser bloqueadas. O Youtube e o Facebook também podem ser acessado com HTTPS, então o bloqueio por palavra chave proxy, já não funciona.

Enfim, a solução mais fácil e segura é via DNS.

No Mikrotik você pode fazer esse bloqueio cadastrando os endereços do youtube e facebook como entradas estáticas no DNS, Menu IP->DNS, veja imagens abaixo.



Fazendo testes, com HTTPS ainda acessou o Facebook, pesquisando Face no Google e clicando no resultado com HTTPS..., então criei a regra DNS com HTTPS no endereço também, print abaixo:

Aqui no caso criei 2 entradas pro Facebook, uma com o HTTPS

Bom, se o cliente tiver configurado o endereço de DNS com o IP do Mikrotik, já deve ter bloqueado, caso contrário, se tiver DNS da Google (8.8.8.8) ou outro, ainda é preciso fazer uma regra NAT no Firewall pra redirecionar todas as consultas de DNS para o próprio Mikrotik, assim, o cliente sempre irá usar o DNS do Mikrotik.

 Então acesse IP->Firewall, aba NAT, clica no + pra adicionar uma regra, e configura assim:

Chain: dstnat
Src address: ! 10.2.2.1 -> Ip local do Mikrotik
Protocolo: UDP
Porta: 53
Pacotes destinados a porta 53 protocolo UDP são consultas DNS
Então tudo o que for consulta DNS que NÃO tiver sendo feito do próprio Mikrotik (source address diferente do IP do Mikrotik) será feita a ação REDIRECT para porta 53, assim irá consultar o próprio DNS do Mikrotik, mesmo que o cliente tenha configurado outro endereço de DNS.

Na guia Action, fica consoante imagem abaixo:
Ação que redireciona
Desta forma, aqui nos meus testes, o facebook e o youtube foram bloqueados. Embora eu imagine que o usuário ainda poderia alterar aquele arquivo hosts (%WinDir%\System32\Drivers\Etc) na própria máquina, se ele souber o endereço IP do facebook e for administrador da máquina local consegue burlar esse bloqueio criando a entrada DNS na própria máquina. Acho que isso apenas usuários avançados conseguiriam, então até hoje creio que o bloqueio por DNS seja a melhor solução.

Obs.: No caso de você ter fechado consultas ao Mikrotik como explicado no post anterior, Fechando acesso ao Mikrotik, lembra de ter a regra que permite as consultas DNS:

add chain=input protocol=udp port=53 action=accept

Até o Futuro!

Comentários

  1. Complementando o POST, tive alguns problemas com essa solução em uma configuração com alguns computadores liberados pra ter acesso a tudo, a solução foi usar no ACTION = dst-nat, to-address = IP_DNS
    E na guia advanced, Src. Address List != Lista de IPs liberados
    Com isso os computadores com livre acesso podem usar outros DNS.

    ResponderExcluir
  2. Bom dia

    tudo bem amigo, poderia colocar um print de como ficou esta configuração, pois queria fazer da mesma forma

    obrigado

    ResponderExcluir
    Respostas
    1. Olá, no caso você teve problema com PCs liberados? Se foi isso, acho que a solução mais fácil é colocar uma regra antes da regra do bloqueio, com o IP que quer liberar, no action dá Accept, assim vai liberar.

      Se quiser pode usar uma lista de endereços pra liberar vários com uma regra apenas.

      Excluir
  3. Não consigo bloquear o acesso ao Youtube de jeito nenhum! :/

    ResponderExcluir
    Respostas
    1. Bom dia João!
      Chegou a implementar a solução do post (DNS)? Até hoje foi a única que deu certo pra nós. Por IP é bem complicado porque são muitos IPs e servidores de CACHEs pelo mundo e por layer7 acaba bloqueando Google junto muitas vezes, assim como por IP também acontecia.

      Excluir

Postar um comentário

Postagens mais visitadas deste blog

Solução para problemas com impressora de cheque Bematech DP-20

Iniciar sessão automaticamente no Xubuntu 13.04