Настройка блокировки рекламы в роутере микротик

Обновлено: 01.07.2024

Установка и настройка на Raspberry крайне понятная и простая. Посмотрим вкратце процесс установки и настройки при условии, что у вас на Raspberry уже установлена ОС Linux и вы имеете доступ по ssh.

Подключаетесь по ssh к Raspberry и выполняете следующую команду:

Определение из википедии:

tar -xvzf cloudflared-stable-linux-arm.tgz

cp ./cloudflared /usr/local/bin

sudo chmod +x /usr/local/bin/cloudflared

Создадим пользователя для работы сервиса

sudo useradd -s /usr/sbin/nologin -r -M cloudflared

Создадим файл конфигурации

sudo nano /etc/default/cloudflared

Дадим на него и на исполняемый файл права пользователю сервиса

sudo chown cloudflared:cloudflared /etc/default/cloudflared

sudo chown cloudflared:cloudflared /usr/local/bin/cloudflared

Создадим файл для возможности добавления сервиса в автозагрузку

sudo nano /lib/systemd/system/cloudflared.service

User=cloudflared

EnvironmentFile=/etc/default/cloudflared

ExecStart=/usr/local/bin/cloudflared proxy-dns $CLOUDFLARED_OPTS

Restart=on-failure

RestartSec=10

KillMode=process

Активация сервиса и его запуск

systemctl enable cloudflared

systemctl start cloudflared

systemctl status cloudflared

Если всё получилось, то увидите, что сервис в состоянии active (running).

В Advanced DNS Settings галки оставляете только на Never forward non-FQDNs и Never forward revers lookups for private IP ranges. Нажимаете Save.

Также в белый лист добавил несколько доменов, чтобы они не блокировались.

И если всё ок, то в настройках DHCP сервера (вероятно он у вас включен в роутере) указываете DNS - ip адрес вашего мини-компьютера Raspberry.

Добавляете скрипт и настраиваете планировщик ( я у себя настроил запускать скрипт каждые 2 часа) согласно инструкции, указанной на сайте. Рекомендую, в скрипт добавлять и тестить по одному списку, т.к. у меня на Mikrotik HAP AC LITE при добавлении всех списков поднялась загрузка процессора на 100% и после завис. После в Mikrotik переходите в настройки ДНС IP - DNS, указываете первый днс сервер ip адрес Pi-hole, второй днс сервер 1.1.1.1 или гугловский/провайдерский, вообщем любой.

После переходите в настройки DHCP сервера и указываете как второй днс сервер - ip адрес вашего роутера. В моем случае 192.168.77.23 - Pi-hole, 192.168.77.1 - роутер.

На этом всё! Настройка закончена! Приятно удивитесь даже заблокированной рекламой в приложениях на телефоне. Удачи!

Блокируем рекламу в интернете используя возможности устройств MikroTik. Блокировку осуществляем с помощью адресного листа (со списком рекламных сетей) и правил Firewall.

Блокируем показ рекламных объявлений от основных рекламных сетей, но вы так же можете добавить свои рекламные сети (которые использованы на посещаемых сайтах).

Помните, что показ рекламных объявлений, является средством вознаграждения авторов сайта (например MHelp.pro).

Блокировка рекламных сетей так же может вызвать проблемы с входом в рекламные кабинеты на сайтах. Учтите это, если вы или ваши пользователи являются веб мастерами.

Содержание

Создаем адрес лист

Создадим адресный лист AdNetworks и добавим в него домены рекламных сетей.

Создаем правило Firewall

Разместите правило в таблице Raw, в соответствии с его номером в комментарии.

Добавляем адреса рекламных сетей в список блокировки

Внесите домен в в адресный лист AdNetworks:

Таким же образом внесите и другие доменные имена или выполните в терминале:

Так же можно заблокировать сервис Google Tag Manager, который используется для добавления сторонних скриптов на веб страницу:

Если вы используете русскоязычные сайты, внесите в список блокировки местные рекламные сети Yandex и Relap:

Для других стран можно внести в список блокировки, рекламную сеть Criteo:

Я использую символ * в каждом комментарии, для фильтрации значений и удобного просмотра списка заблокированных сетей.

Как найти рекламные сети на сайте

Инструкция для Google Chrome:

Теперь вы можете видеть все скрипты используемые на этой веб странице и добавить в список AdNetworks скрипты с нежелательных доменных имен.

Рекламные объявления, являются способом дохода вебмастеров, мотивируя на создание качественного контента.

Список популярных рекламных сетей

Список распространенных рекламных сетей (будет пополняться)

Мировые рекламные сети

Google, Criteo, Adsafeprotected, Onesignal, Admixer.

Русскоязычные рекламные сети

Если вы нашли популярные рекламные сети (глобальные или региональные), напишите в комментариях, я добавлю правила в статью.

Помимо рекламных объявлений, на сайтах установлены системы аналитики нарушающие вашу приватность и собирающие данные, о блокировке систем аналитики и увеличении приватности в интернете, будет в следующей статье.

🟢 Как заблокировать рекламу на сайтах используя оборудование MikroTik обсуждалось в этой статье. Я надеюсь, что теперь вы сможете уменьшить количество отображаемых рекламных объявлений для устройств в вашей сети. Однако, если вы столкнетесь с каким-то проблемами при настройке, не стесняйтесь написать в комментариях. Я постараюсь помочь.

На написание данной статьи меня сподвиг тот факт, что клиенту понадобилось блокировать трафик на развлекательные сайты. Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Начнем с часто предлагаемого варианта в интернете:

/ip firewall layer7-protocol add name=youtube regexp= "^.+(youtube).*\$" add name=facebook regexp= "^.+(facebook).*\$"

/ip firewall filter add action=drop chain=forward layer7-protocol=facebook

add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются.

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Мы немного доработаем этот метод блокировки. Читайте далее.

Правильное решение

Создаем правило с регулярным выражением для Layer7:

/ip firewall layer7-protocol add name=youtube regexp= "^.+(youtube).*\$"

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила:

add name=facebook regexp= "^.+(facebook).*\$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов поля Regexp:

Далее создаем правила для маркировки соединений и пакетов:

/ip firewall mangle add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes

*Можно создать это правило на весь трафик, а не только на DNS. Нагрузка при этом но роутер возрастёт, но вы гарантированно закроете пользователям доступ к нужным сайтам.

add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

и правила для фильтра файрвола:

/ip firewall filter add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу клиента, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Дорабатывал статью Кардаш Александр Владимирович

Очень похоже что статья устарела. Смотрите её обновлённый вариант

Кардаш Александр

Автор статей по настройке ОС и сетевого оборудования. Отвечу на форуме на ваши вопросы. Добрый айтишник!

Другие материалы с нашего сайта:

Здравствуйте!
Несколько неполным был мой комментарий по поводу блокировки сайтов.
Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую фичу RouterOS - TLS-Host (TLS Traffic), которая поддерживает параметр "GLOB-Style-pattern". Применение правила блокировки, которое не будет загружать процессор, будет очень простым:

Здравствуйте!
Начиная с версии 6.41 упрощены правила блокировки сайтов в файерволе.
К примеру, блокировка Ютюба и Фэйсбука.

Когда-то писалось вот так для “High Layer7 load”
/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*\$"
add name=facebook regexp="^.+(facebook).*\$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube
И это - неправильно
Устарело и старое применение правила блокировки:
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes
add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet
/ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet
(то же самое делается и для Facebook)

Возникла необходимость заблокировать Youtube в сети, где шлюзом выступает роутер MikroTik BR750Gr3. Первоначальные настройки роутера выполнены по этой инструкции.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Информация по блокировке взята отсюда.

В сокращенном виде терминальных команд это выглядит так:

/ip firewall mangle

add action=mark-connection chain=prerouting protocol=udp

dst-port=53 connection-mark=no-mark layer7-

add action=mark-packet chain=prerouting connectionmark=youtube_conn new-packet-mark=youtube_packet

/ip firewall filter

add action=drop chain=forward packet-mark=youtube_packet

add action=drop chain=input packet-mark=youtube_packet

(Нажимаем в роутере New Terminal и вводим построчно команды)

Принцип действия таков: мы маркируем соединения и пакеты, относящиеся к ютубу, затем правилами фаервола их блокируем.

Для тех, кто всё понял, дальше может не читать.

В микротик рекомендуют такой способ вместо одиночного правила блокировки т.к. он снижает нагрузку на оборудование.

Помимо настроек через команды, написанные выше, настройки можно выполнить через графический интерфейс. Рассмотрим этот способ подробнее.

Подключаемся к роутеру через WinBox.

Переходим по пути меню: IP>>Firewall>>Layer7 Protocols

Нажимаем синий плюсик и создаем новое правило.

В поле Name пишем имя youtube.

В поле Regexp: вводим значение для идентификации ютуба ^.+(youtube).*$

* если необходимо заблокировать социальные сети или другие ресурсы, то необходимо создать правила с другими идентификаторами (доменными именами)

Создадим два правила для маркировки соединений и пакетов.

Переходим на вкладку Mangle. Нажимаем синий плюсик.

В открывшемся окне на вкладке General вводим значения, как на скриншоте ниже:

Src.Address: 192.168.x.x (адрес ПК, у которого нужно заблокировать доступ на ютуб, src – исходящий адрес, dst – адрес назначеня).

Connection Mark: no-mark

Нажимаем кнопку «Apply».

Переходим на вкладку Advanced.

Layer7 Protocol: youtube

Переходим на вкладку Action, выполняем настройки.

Action: mark connection

New Connection Mark: youtube_conn

Passthrough – активируем галочкой.

Нажимаем Apply или OK.

Этим правилом мы будем маркировать все соединения с ютуб именем youtube_conn.

Создаем еще одно правило на вкладке Mangle нажав синий плюсик.

В открывшемся окне, на вкладке General вводим значения, как на скриншоте ниже:

Src.Address: 192.168.x.x (адрес ПК, у которого нужно заблокировать доступ на ютуб).

Connection Mark: youtube_conn.

Нажимаем кнопку «Apply».

Переходим на вкладку Action, выполняем настройки.

Action: mark packet

New Connection Mark: youtube_packet

Passthrough – активируем галочкой.

Нажимаем Apply или OK.

Этим правилом мы будем маркировать все пакеты ютуба.

Получилось два правила.

Переходим на вкладку Filter Rules. Создаем правило, нажав плюс.

Выполняем настройки. На вкладке General:

Packet Mark: youtube_packet.

Переходим на вкладку Action.

Можно добавить комментарий к правилу.

Нажимаем Apply или ОК. Правило готово.

Создадим еще одно правило в этом же разделе (Filter Rules).

На вкладке General отмечаем:

Packet Mark: youtube_packet

Переходим на вкладку Action.

Нажимаем Apply, чтоб сохранить правило.

В итоге получились два правила.

После этих действий YouTube на компьютере перестал работать.

Блокировка ресурса для нескольких пользователей.

Если нужно заблокировать доступ на YouTube для большого числа пользователей создадим группу пользователей и применим правила к ней.

Переходим по пути: IP>>Firewall>>Address Lists

Нажимаем синий плюсик.

В открывшемся окне New Firewall Address List пишем название группы и диапазон необходимых IP-адресов. Нажимаем ОК.

Если работает DHCP, то правило будет применяться только к этому диапазону IP, нужно учитывать этот нюанс. Либо привязать MAC адрес пользователя к определенному IP, и ему всегда будет раздаваться один и тот же IP либо прописать у всех пользователей сети статические IP адреса. Или какие-то другие варианты.

Переходим на вкладку Mangle, выбираем по очереди два наших созданных ранее правила по маркировке соединений и пакетов. В разделе General из строчки Src.Address убираем IP адрес, а на вкладке Advanced добавляем в строчке Src.Address List созданную группу. ОК.

После этих действий YouTube заблокируется у группы пользователей с перечисленным диапазоном IP адресов.

Иногда может потребоваться некоторое время, чтоб правило начало действовать.

Если есть какие-то другие запрещающие правила в списке фаервола, то данные правила лучше разместить выше них (или по обстоятельствам, в соответствии с тем, что и как блокируется).

Разрешение доступа на YouTube определенным пользователям и запрет всем остальным.

Если нужно заблокировать ютуб всем пользователям и только определенным оставить, создаем группу GR3, в которою добавляем IP адреса пользователей, которым нужно разрешить доступ в YouTube.

Если нужны какие-то определенные IP-адреса, помимо перечисленного диапазона, то создаем еще один объект в разделе Address Lists, называем его точно так же и добавляем в него нужный IP.

С помощью консольной команды это можно сделать так:

/ip firewall address-list add list=GR3 address=192.168.0.60

Таким способом добавляем все нужные адреса.

Создаем группу GR5, в которую добавляем все IP-адреса сети.

В двух правилах на вкладке Mangle в разделе Advanced указываем созданную группу со всеми IP адресами. OK.

В двух правилах на вкладке Firewall в разделе General указываем диапазон всех IP-адресов сети в поле Src.Address.

Переходим на вкладку Advanced и в поле Src.Address выбираем группу пользователей, которым доступ разрешен. Важный момент – отмечаем значок «!» в квадратике слева от выбранной группы. Он означает инверсию действия, т.е. вместо запрещения разрешение. Нажимаем ОК.

Смысл всех этих действий таков: Соединения и пакеты Ютуба будут маркироваться для всех пользователей сети. Фильтр фаервола будет обрывать (drop) маркированные соединения и пакеты всем пользователям, за исключением пользователей группы GR3, для которых действие наоборот, т.е. разрешающее.

Вероятно, что есть и другие варианты для решения вопроса блокировки ресурса через MikroTik. Представленная схема проверена и работает в сети нашей организации. Обладая вышеописанными знаниями по маркировке и работе с группами можно создавать и комбинировать правила для блокировки/разрешения доступа к различным ресурсам интернета разным пользователям различными вариантами.

Читайте также: