Como bloquear Facebook Youtube no Mikrotik

Saudações!

Uma das coisas mais complicadas é o Youtube, devido ao fato de compartilhar servidores com outros serviços como o buscador da Google, Gmail etc, além de ter cache em servidores que não são da Google, assim se bloquear os IPs bloqueia coisas que não poderiam ser bloqueadas. O Youtube e o Facebook também podem ser acessado com HTTPS, então o bloqueio por palavra chave proxy, já não funciona.

Enfim, a solução mais fácil e segura é via DNS.

No Mikrotik você pode fazer esse bloqueio cadastrando os endereços do youtube e facebook como entradas estáticas no DNS, Menu IP->DNS, veja imagens abaixo.



Fazendo testes, com HTTPS ainda acessou o Facebook, pesquisando Face no Google e clicando no resultado com HTTPS..., então criei a regra DNS com HTTPS no endereço também, print abaixo:

Aqui no caso criei 2 entradas pro Facebook, uma com o HTTPS

Bom, se o cliente tiver configurado o endereço de DNS com o IP do Mikrotik, já deve ter bloqueado, caso contrário, se tiver DNS da Google (8.8.8.8) ou outro, ainda é preciso fazer uma regra NAT no Firewall pra redirecionar todas as consultas de DNS para o próprio Mikrotik, assim, o cliente sempre irá usar o DNS do Mikrotik.

 Então acesse IP->Firewall, aba NAT, clica no + pra adicionar uma regra, e configura assim:

Chain: dstnat
Src address: ! 10.2.2.1 -> Ip local do Mikrotik
Protocolo: UDP
Porta: 53
Pacotes destinados a porta 53 protocolo UDP são consultas DNS
Então tudo o que for consulta DNS que NÃO tiver sendo feito do próprio Mikrotik (source address diferente do IP do Mikrotik) será feita a ação REDIRECT para porta 53, assim irá consultar o próprio DNS do Mikrotik, mesmo que o cliente tenha configurado outro endereço de DNS.

Na guia Action, fica consoante imagem abaixo:
Ação que redireciona
Desta forma, aqui nos meus testes, o facebook e o youtube foram bloqueados. Embora eu imagine que o usuário ainda poderia alterar aquele arquivo hosts (%WinDir%\System32\Drivers\Etc) na própria máquina, se ele souber o endereço IP do facebook e for administrador da máquina local consegue burlar esse bloqueio criando a entrada DNS na própria máquina. Acho que isso apenas usuários avançados conseguiriam, então até hoje creio que o bloqueio por DNS seja a melhor solução.

Obs.: No caso de você ter fechado consultas ao Mikrotik como explicado no post anterior, Fechando acesso ao Mikrotik, lembra de ter a regra que permite as consultas DNS:

add chain=input protocol=udp port=53 action=accept

Até o Futuro!
Labels: ,

5 comentários:

  1. Bolívar30 de novembro de 2016 às 14:47

    Complementando o POST, tive alguns problemas com essa solução em uma configuração com alguns computadores liberados pra ter acesso a tudo, a solução foi usar no ACTION = dst-nat, to-address = IP_DNS
    E na guia advanced, Src. Address List != Lista de IPs liberados
    Com isso os computadores com livre acesso podem usar outros DNS.

    ResponderExcluir
  2. Unknown13 de abril de 2017 às 10:26

    Bom dia tudo bom

    amigo poderia colocar um print de como ficou este complemento, nao sei onde colocar estas informações que voce esta dizendo.

    obrigado e parabéns

    ResponderExcluir
  3. Anônimo13 de abril de 2017 às 10:28

    Bom dia

    tudo bem amigo, poderia colocar um print de como ficou esta configuração, pois queria fazer da mesma forma

    obrigado

    ResponderExcluir
  4. Unknown13 de abril de 2017 às 10:28

    Bom dia

    tudo bem amigo, poderia colocar um print de como ficou esta configuração, pois queria fazer da mesma forma

    obrigado

    ResponderExcluir
    Respostas
    1. Bolívar13 de abril de 2017 às 15:08

      Olá, no caso você teve problema com PCs liberados? Se foi isso, acho que a solução mais fácil é colocar uma regra antes da regra do bloqueio, com o IP que quer liberar, no action dá Accept, assim vai liberar.

      Se quiser pode usar uma lista de endereços pra liberar vários com uma regra apenas.

      Excluir

Faça um blogueiro feliz, deixe um comentário :-)

Assinar: Postar comentários (Atom)