{sape_links}
Быстрая навигация
802.11ac 802.11ac Wave 2 802.11n Android DVB-T2 Google hAP Intel IPSec Keenetic LTE Mikrotik MU-MIMO Netis Newsletter Realtek RouterBOARD RouterOS Rozetka rozetka.com.ua Strong Trimax Ubiquiti UBNT UniFi usb wAP 60G Wi-Fi Winbox wireless Zyxel безопасность маршрутизатор обзор обновление промо промо-код прошивка роутер скидкиБлокировка TikTok на Mikrotik RouterOS
03 январь 2022
12 753
0
Проблема блокировки трафика TikTok обсуждается для многих платформ, и Mikrotik тут не исключение. Я же столкнулся с проблемой блокировки TikTok с появлением ребенка. Какие только способы блокировки не обсуждаются на просторах Интернета.
Дело в том, что TikTok активно блокируется в ряде стран, среди которых США и Индия. В ответ TikTok постоянно применяет действия по обходу ограничений, одним из методов является смена субдоменов и IP. По этой причине списки доменов и IP-адресов, которые необходимо блокировать, часто меняются и правила блокировки перестают работать.
В Интернете вы можете найти 2 основные способа блокировки:
- Блокировка при помощи фильтрации Layer 7;
- Блокировка доменов и IP;
^.+(myqcloud.com|wsdvs.com|worldfcdn.com|footprint.net|byteoversea.|ibyteimg.|.ibyteimg|ibyteimg.com|musemuse.cn|muscdn.com|.byteoversea|byted.org|bytecdn.cn|byteoversea.com|.musical|musical.|musical.ly|tiktokcdn.com|tiktokv.com|tiktokcdn.com|.tiktokv|tiktokv.|tiktokcdn-com|.akamaized|akamaized.net|akamaized.|tiktok.com|www.tiktok.com|m.tiktok.com|tiktok.|tiktok|.zhiliaoapp|.musically|zhiliaoapp.|musically.).*$С последующей блокировкой в Firewall (вкладка Advanced – Layer 7 Protocol).
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.
Первый вариант блокировки ресурсов самим Mikrotik не рекомендуется.
Что предлагает поддержка Mikrotik? Normis рекомендует прибегать к блокировке доменных имен, параллельно перехватывая и пересылая DNS-запросы клиентов на локальный DNS. Собственно это второй вариант.
Перехват запросов делается очень просто, при помощи NAT:
/ip firewall nat
add action=dst-nat chain=dstnat comment="===== DNS REDIRECT =====" \
dst-port=53 in-interface=bridge-guest protocol=tcp src-address=\
100.100.100.0/24 to-addresses=100.100.100.1 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 in-interface=bridge-guest \
protocol=udp src-address=100.100.100.0/24 to-addresses=100.100.100.1 \
to-ports=53В данном примере:
100.100.100.1 – локальный DNS;
100.100.100.0/24 – локальная подсеть, запросы с которой необходимо переадресовывать;
Порты UDP 53 и TCP 53 используются для работы DNS. Как правило, это протокол UDP, но иногда бывает, что клиенты используют TCP. Вы можете как обрабатывать весь трафик из локальной сети, так и его часть. Например, ограничив ресурсы только для детей, указав их IP либо создав отдельный Address List.
В качестве примера, вы можете найти список подсетей, используемых для TikTok, но он уже не актуален:
103.136.0.0/16
130.44.0.0/16
147.160.0.0/16
139.177.0.0/16
122.14.192.0/18
54.192.0.0/16
151.101.0.0/16
182.176.0.0/16Есть тут маленькая проблемка… TikTok часто меняет IP и домены. Как быть?
Как правило, для работы TikTok используются меняющиеся субдомены. Вот их и следует фильтровать. Сделать это можно при помощи Mangle, следующим образом:
/ip firewall filter
add action=reject chain=forward dst-address-list=Blacklist-Kidcontrol src-address=100.100.100.0/24 protocol=tcp reject-with=tcp-reset
/ip firewall mangle
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.tiktok.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.tiktokv.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.tiktokcdn.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.byteoversea.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.ibyteimg.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.ibytedtos.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.myqcloud.com src-address=100.100.100.0/24Как это работает?
Система отслеживает субдомены TikTok, внося их в отдельный список (в моем случае это Blacklist-Kidcontrol). После этого средствами Firewall фильтруется весь трафик, идущий к этим субдоменам.
Вы можете использовать как action=reject, так и action=drop. Лично я предпочитаю первый вариант, т.к. в случае подключения плагинов соцсети с заблокированных субдоменов на других сайтах, загрузка страницы происходит значительно быстрее.
Теперь о недостатках данного метода
Использование подобного метода блокировки приводит к существенному снижению производительности и загрузке CPU. Для примера, на RB760iGS с отключенным FastTrack, скорость падает до 40/80 Мбит, в случае обработки трафика с подсети /24. Если же ограничивать трафик только для определенного Src. Address List, падение производительности вы не заметите, пока ваши клиенты не начнуть грузить сеть.Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)
Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.