Блокировка TikTok на Mikrotik RouterOS

03 январь 2022 12 614 0

Проблема блокировки трафика TikTok обсуждается для многих платформ, и Mikrotik тут не исключение. Я же столкнулся с проблемой блокировки TikTok с появлением ребенка. Какие только способы блокировки не обсуждаются на просторах Интернета.

Дело в том, что TikTok активно блокируется в ряде стран, среди которых США и Индия. В ответ TikTok постоянно применяет действия по обходу ограничений, одним из методов является смена субдоменов и IP. По этой причине списки доменов и IP-адресов, которые необходимо блокировать, часто меняются и правила блокировки перестают работать.

В Интернете вы можете найти 2 основные способа блокировки:
  1. Блокировка при помощи фильтрации Layer 7;
  2. Блокировка доменов и IP;
Блокировка при помощи Layer 7 может быть осуществлена путем создания фильтра:

^.+(myqcloud.com|wsdvs.com|worldfcdn.com|footprint.net|byteoversea.|ibyteimg.|.ibyteimg|ibyteimg.com|musemuse.cn|muscdn.com|.byteoversea|byted.org|bytecdn.cn|byteoversea.com|.musical|musical.|musical.ly|tiktokcdn.com|tiktokv.com|tiktokcdn.com|.tiktokv|tiktokv.|tiktokcdn-com|.akamaized|akamaized.net|akamaized.|tiktok.com|www.tiktok.com|m.tiktok.com|tiktok.|tiktok|.zhiliaoapp|.musically|zhiliaoapp.|musically.).*$

С последующей блокировкой в Firewall (вкладка Advanced – Layer 7 Protocol).
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.

Первый вариант блокировки ресурсов самим Mikrotik не рекомендуется.

Что предлагает поддержка Mikrotik? Normis рекомендует прибегать к блокировке доменных имен, параллельно перехватывая и пересылая DNS-запросы клиентов на локальный DNS. Собственно это второй вариант.

Перехват запросов делается очень просто, при помощи NAT:

/ip firewall nat
add action=dst-nat chain=dstnat comment="===== DNS REDIRECT =====" \
dst-port=53 in-interface=bridge-guest protocol=tcp src-address=\
100.100.100.0/24 to-addresses=100.100.100.1 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 in-interface=bridge-guest \
protocol=udp src-address=100.100.100.0/24 to-addresses=100.100.100.1 \
to-ports=53

В данном примере:

100.100.100.1 – локальный DNS;
100.100.100.0/24 – локальная подсеть, запросы с которой необходимо переадресовывать;

Порты UDP 53 и TCP 53 используются для работы DNS. Как правило, это протокол UDP, но иногда бывает, что клиенты используют TCP. Вы можете как обрабатывать весь трафик из локальной сети, так и его часть. Например, ограничив ресурсы только для детей, указав их IP либо создав отдельный Address List.

В качестве примера, вы можете найти список подсетей, используемых для TikTok, но он уже не актуален:

103.136.0.0/16
130.44.0.0/16
147.160.0.0/16
139.177.0.0/16
122.14.192.0/18
54.192.0.0/16
151.101.0.0/16
182.176.0.0/16

Есть тут маленькая проблемка… TikTok часто меняет IP и домены. Как быть?

Как правило, для работы TikTok используются меняющиеся субдомены. Вот их и следует фильтровать. Сделать это можно при помощи Mangle, следующим образом:

/ip firewall filter
add action=reject chain=forward dst-address-list=Blacklist-Kidcontrol src-address=100.100.100.0/24 protocol=tcp reject-with=tcp-reset

/ip firewall mangle
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.tiktok.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.tiktokv.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.tiktokcdn.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.byteoversea.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.ibyteimg.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.ibytedtos.com src-address=100.100.100.0/24
add action=add-dst-to-address-list address-list=Blacklist-Kidcontrol address-list-timeout=4w2d chain=prerouting content=.myqcloud.com src-address=100.100.100.0/24

Как это работает?

Система отслеживает субдомены TikTok, внося их в отдельный список (в моем случае это Blacklist-Kidcontrol). После этого средствами Firewall фильтруется весь трафик, идущий к этим субдоменам.

Вы можете использовать как action=reject, так и action=drop. Лично я предпочитаю первый вариант, т.к. в случае подключения плагинов соцсети с заблокированных субдоменов на других сайтах, загрузка страницы происходит значительно быстрее.

Теперь о недостатках данного метода

Использование подобного метода блокировки приводит к существенному снижению производительности и загрузке CPU. Для примера, на RB760iGS с отключенным FastTrack, скорость падает до 40/80 Мбит, в случае обработки трафика с подсети /24. Если же ограничивать трафик только для определенного Src. Address List, падение производительности вы не заметите, пока ваши клиенты не начнуть грузить сеть.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Блокировка почтовых спамеров (SMTP) средствами RouterOS в локальной сети на

Предположим, что существует компания «Рога и Копыта», в которой большое количество сотрудников и рабочих мест, есть удаленные филиалы, полноценный...

Анонс Mikrotik Newsletter №80, январь 2018: обзор нового hAP ac2, потолочный

Компания Mikrotik анонсировала Newsletter №80 за январь 2018, в котором описаны новые продукты на ближайшие несколько месяцев. Посмотрим, сможет ли...

Отключаем навязчивую рекламу в Skype средствами Mikrotik

Надоела навязчивая реклама в Skype? Мне - да. Для владельцев Mikrotik есть удобный трюк, при помощи которого можно отключить рекламу в Skype сразу на...

Обход блокировки сайтов со стороны провайдера на Mikrotik (RouterOS) при помощи

В рамках данной публикации мне хотелось бы поговорить об одном из методов обхода блокировки сайтов со стороны провайдера на маршрутизаторах Mikrotik...

Wikileaks опубликовал доклад с информацией о получении доступа к устройствам на

7 марта на ресурсе Wikileaks был опубликован набор документов под названием «Vault 7». Vault 7 – большая подборка документов, имеющих отношение к...

Как защитить ребёнка в Интернете?

Интернет напоминает нерегулируемый перекресток с напряженным движением. Сайтов с нежелательным и вредоносным содержимым в Сети огромное количество....

авторизация на сайте

Забыли пароль?