Добрый день! Продолжаю серию статей про настройку Микротика для дома и что полезного он умеет. В данной статье рассмотрим его возможности и мои рекомендации о том, как отключить дома "серый" интернет и обезопасить себя и своих детей от фишинговых сайтов, сайтов-обманок, завирусованных скриптов и пр. гадости без антивирусов и других дополнительных платных программ.
Речь пойдет больше о самом механизме блокировок, а не о рассуждении "стоит ли блокировать понро", поэтому прошу не разводить холиваров в комментариях о том стоит ли это скрывать, посмотрит ли ребенок в другом месте и пр. Это вы решите сами, дома и молча, а я лишь покажу как.
Основной механизм, который будет определять зловредные сайты и "сайты для взрослых" (какое же убогое название, прям бе), будет иметь обширную базу данных, которая бы постоянно обновлялась и была бесплатной - это DNS (Domain Name Service). Для тех кто в танке - это сервис, который по имени определяет адрес веб-хоста. Например, вы вводите в строке браузера "yandex.ru" - это не совсем его адрес, это буквенный аналог, удобный для нашего восприятия, а адрес его: "5.255.255.80". Так вот, это сопоставление буквенного адреса с цифровым и делается на DNS-серверах. Когда мы используем фильтрующие ДНСы, то они просто не отдают нам адрес "плохого" сайта или перенаправляют на другой сайт, на котором говорится, что искомый нами адрес заблокирован. Все просто.
Я рассмотрю только несколько бесплатных ресурсов, которые позволят нам пользоваться "безопасным интернетом". Их функционал довольно скудный, но свои задачи выполняет неплохо. Если готовы платить за платный ДНС (рублей 300-600/мес), то получите более гибкие механизмы фильтрации и перенаправления (редиректа). Погуглите сами, большие уже. ;)
Cloudflare
Сервис работает с 2018 года и является полностью бесплатным. Как и у многих подобных решений имеет несколько режимов работы, которые определяются в зависимости от выбранного вами IP-адреса этого сервиса. Так как нас интересует только режим с фильтром, то их два. Семейный: при указании в качестве DNS-серверов адресов 1.1.1.2 / 1.0.0.2 - осуществляется блокировка вредоносных ресурсов. А если вы захотите ещё и контент для взрослых блочить, то нужно установить адреса 1.1.1.3 / 1.0.0.3.
Neustar UltraDNS Public
Другой бесплатный DNS-сервис от американской компании Neustar, который так же предлагает несколько вариантов с различной степенью фильтрации. Блокировка вредоносных, фишинговых и шпионских сайтов выполняется при указании адресов 156.154.70.2 / 156.154.71.2. Если вы хотите ограничить и сайты содержащие контент с понро, наси..ем и азартными играми, то нужно использовать 156.154.70.3 / 156.154.71.3.
Яндекс.DNS
Полностью бесплатный сервис, который довольно быстро и неплохо работает. Два режима фильтрации, как и у всех выше. Безопасный режим: 77.88.8.88 / 77.88.8.2 - блокирует только вредоносные сайты. Семейный: 77.88.8.7 / 77.88.8.3 - дополнительно к "Безопасному" осуществляет фильтрацию материалов для взрослых.
Оставляю выбор за вами каким именно сервисом пользоваться, но хочу отметить один значимый момент. Так как мы находимся с вами в основном в зоне РУ, то, мое ИМХО, наверное, сервис от яндекса с этой зоной работает лучше и реагирует быстрее на изменения контента. Если же вы работаете в основном с зарубежными сайтами, то и фильтрацией лучше пользоваться удаленной. Но выбор за вами, я не настаиваю.
Как я выше уже описал, принцип работы прост: если вы запрашиваете адрес, который содержится в списках выбранного фильтра, то его цифровой адрес просто не сообщается вам, либо идет переадресация на страницу с указанием причины блокировки. Итак, сервис мы выбрали (я настроил для яндекса, можете поменять), теперь настроим наш микрот. Для простоты я сделаю две вайфай сети - с детским фильтром (закрыты вредоносные ресурсы и понро) и с обычным (закрыты только вредоносные ресурсы). При этом вторая сеть скрыта и подключиться к ней можно только набрав SSID и пароль вручную.
Подключаемся к вашему микротику через winbox или по ssh через putty. В winbox'е открываем пункт New Terminal и в него будем вставлять конфиг частями.
Создаем два бридж-интерфейса для удобства.
/interface bridge
add name=home-net
add name=home-norm
Присваиваем локальные адреса этим бриджам.
/ip address
add address=192.168.31.1/24 interface=home-net network=192.168.31.0
add address=192.168.33.1/24 interface=home-norm network=192.168.33.0
Настраиваем DHCP сервер, который будет автоматически выдавать адреса клиентам сети.
/ip dhcp-server network
add address=192.168.31.0/24 dns-server=77.88.8.3,77.88.8.7 gateway=192.168.31.1
add address=192.168.33.0/24 dns-server=77.88.8.2,77.88.8.88 gateway=192.168.33.1
/ip pool
add name=home-net ranges=192.168.31.2-192.168.31.254
add name=home-norm ranges=192.168.33.2-192.168.33.254
/ip dhcp-server
add address-pool=home-net disabled=no interface=home-net name=home-net
add address-pool=home-norm disabled=no interface=home-norm name=home-norm
Указываем базовый DNS, которым будет пользоваться сам микрот (самый безопасный от яндекса).
/ip dns
set servers=77.88.8.3,77.88.8.7
Настраиваем два интерфейса WiFi: home-net и home-norm. Пароли home-net1 и home-norm1 соответственно. Чтобы поменять - просто скопируйте в блокнот и замените нужные значения: wpa2-pre-shared-key=home-net1 и ssid=home-net второй вайфай аналогично.
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=home-net supplicant-identity="" wpa2-pre-shared-key=home-net1
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=home-norm supplicant-identity="" wpa2-pre-shared-key=home-norm1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC disabled=no frequency=auto mode=ap-bridge security-profile=home-net ssid=home-net wireless-protocol=802.11 wps-mode=disabled
add disabled=no hide-ssid=yes keepalive-frames=disabled master-interface=wlan1 multicast-buffering=disabled name=wlan2 security-profile=home-norm ssid=home-norm wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
А тут мы настроим перехват всех запросов DNS и будем принудительно их направлять выбранному нами ДНС-серверу. Делается это для того, чтобы даже если пользователь в настройках сетевого соединения пропишет другие ДНСы, то результат для него не изменится.
/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=53 new-routing-mark=home-net passthrough=yes protocol=udp src-address=192.168.31.0/24
add action=mark-routing chain=prerouting dst-port=53 new-routing-mark=home-norm passthrough=yes protocol=udp src-address=192.168.33.0/24
/ip firewall nat
add action=netmap chain=dstnat routing-mark=home-net to-addresses=77.88.8.3
add action=netmap chain=dstnat routing-mark=home-norm to-addresses=77.88.8.2
add action=masquerade chain=srcnat
А теперь мы назначим все наши интерфейсы (физические и виртуальные) созданным ранее бриджам. Таким образом я подразумеваю, что интернет у вас приходит в 1 порт и его не трогаем, оставляем как есть, остальные перераспределяем. Если у вас уже есть дефолтный бридж 192.168.88.0/24 и все физинтерфейсы заведены в него, то нужно сначала их освободить, а то не применится. Но будьте внимательны - когда вы удалите из бриджа интерфейс, по которому подключен ваш компьютер, то комп и сеть на нем пропадут и подключиться к микротику можно будет только по проводу и через winbox в разделе Neighbors.
Когда приконнектитесь по мак-адресу, нужно завершить нашу настройку, добавив интерфейсы в новые бриджи. Если у вас микротик 951 или hap, то физических портов в нем 5. Ничего страшного, если вы скопируете конфиг ниже целиком - строки для портов 6-10 просто проигнорируются.
/interface bridge port
add bridge=home-net interface=wlan1
add bridge=home-norm interface=wlan2
add bridge=home-net interface=ether2
add bridge=home-net interface=ether3
add bridge=home-net interface=ether4
add bridge=home-net interface=ether5
add bridge=home-net interface=ether6
add bridge=home-net interface=ether7
add bridge=home-net interface=ether8
add bridge=home-net interface=ether9
add bridge=home-net interface=ether10
Итак, когда мы все завершили, у вас по проводу начала раздаваться сеть 192.168.31.0/24, она же раздается в вайфае home-net - можно начать тестировать. Самое простое - в этой сети с самой закрученной защитой при вводе запроса "по..но" в поисковике у вас ничего не отобразится, но если поискать "рассада", то все должно быть как обычно.
Если же интернета нет вообще или фильтр не работает, если вручную прописать на клиенте другой ДНС, то проверьте следующие моменты.
Правила должны выглядеть именно так и в такой последовательности. Если у вас уже был настроенный микрот, то скорее всего эти правила добавились в конец списка и просто не работают - их надо поднять вверх.
На этом я хочу закончить данную статью, а то и так уже много букв. Но это еще не все настройки для контроля за детьми. Можно для каждого устройства (телефона ребенка, например, планшета жены...) задать время работы вайфая: строго с 14:00 до 17:00, например, или исключительно youtube и только 2 Гб в день. Также, можно настроить контентный фильтр по имени запроса (читай мою статью: Блокируем TeamViewer, Ammyy, AnyDesk и пр.). Все это можно реализовать, но в рамках следующих статей, если эта наберет достаточную популярность.
Спасибо за внимание, желаю вам и вашей семье взаимопонимания, чтобы никакие искусственные ограничения вам были не нужны, а в доме царила атмосфера простого семейного счастья! Очень прошу от вас лайк для статьи и подписку на канал, если вам было интересно! Всех благ!