.<!DOCTYPE html>
<html lang="ru">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Как заблокировать сайт микротиком</title>

<style>
:root{
  --bg:#f8fafc;
  --text:#0f172a;

  --brand:#e11d48;
  --brand2:#f59e0b;

  --link:#be123c;

  --card:#ffffff;
  --border: rgba(0,0,0,0.06);
  --shadow: 0 20px 60px rgba(0,0,0,0.12);
  --radius: 20px;
}

body{
  margin:0;
  font-family: Arial, sans-serif;
  background:
    radial-gradient(900px 500px at 10% 10%, rgba(225,29,72,0.12), transparent 60%),
    radial-gradient(900px 500px at 90% 10%, rgba(245,158,11,0.12), transparent 60%),
    var(--bg);
  color:var(--text);
}

/* header с полосками */
header{
  text-align:center;
  padding:26px 0 22px;
  font-size:25px;
  font-weight:900;
  color:white;
  background:
    repeating-linear-gradient(
      90deg,
      rgba(255,255,255,0.08),
      rgba(255,255,255,0.08) 20px,
      transparent 20px,
      transparent 40px
    ),
    linear-gradient(135deg,var(--brand),var(--brand2));
  box-shadow:var(--shadow);
}

/* font panel */
.font-panel{
  position:fixed;
  right:14px;
  bottom:14px;
  display:flex;
  gap:6px;
  background:white;
  padding:6px;
  border-radius:12px;
  box-shadow:var(--shadow);
  z-index:9999;
}

.font-panel button{
  border:none;
  padding:8px 12px;
  font-size:14px;
  font-weight:bold;
  color:white;
  background:linear-gradient(135deg,var(--brand),var(--brand2));
  border-radius:8px;
  cursor:pointer;
}

.font-panel .close-btn{
  background:none;
  color:black;
  font-size:18px;
}

/* layout */
.wrapper{
  max-width:860px;
  margin:34px auto;
  padding:0 14px;
}

.card{
  background:var(--card);
  border-radius:var(--radius);
  box-shadow:var(--shadow);
  border:1px solid var(--border);
  overflow:hidden;
  position:relative;
}

/* декоративная линия */
.card::before{
  content:"";
  display:block;
  height:10px;
  background:
    linear-gradient(90deg,
      var(--brand),
      var(--brand2),
      var(--brand)
    );
}

.media{
  padding:24px 22px 0;
  text-align:center;
}

.media img{
  max-width:100%;
  border-radius:14px;
  box-shadow:0 14px 32px rgba(0,0,0,0.1);
}

.content{
  padding:26px;
  font-size:18px;
  line-height:1.95;
}

.content p{
  margin-bottom:14px;
}

a{
  color:var(--link);
  font-weight:bold;
  text-decoration:none;
}

a:hover{
  text-decoration:underline;
}

/* footer */
footer{
  margin-top:30px;
  padding:26px 0;
  text-align:center;
  font-size:13px;
  color:#475569;
}

.legal{
  max-width:860px;
  margin:auto;
  padding:0 16px;
  line-height:1.75;
}

.legal strong{
  color:#111;
}

/* mobile */
@media(max-width:768px){
  body{padding-bottom:100px;}
  .content{font-size:17px;}
}

@media(max-width:480px){
  .content{font-size:16px;}
}

</style>

<link rel="canonical" href="https://belamador.by/17618.html">
<meta name="description" content="Как заблокировать сайт микротиком">
<meta property="og:title" content="Как заблокировать сайт микротиком">
<meta property="og:description" content="Как заблокировать сайт микротиком">
<meta property="og:url" content="https://belamador.by/17618.html">
<link rel="icon" href="/favicon.ico" type="image/x-icon">

</head>

<body>


<div class="font-panel">

<button onclick="adjustFont(-1)">A−</button>
<button onclick="adjustFont(1)">A+</button>
<button class="close-btn" onclick="hidePanel()">×</button>

</div>


<header>

Как заблокировать сайт микротиком

</header>


<main>

<div class="wrapper">

<div class="card">

<div class="media">

<img src="play.jpg" loading="lazy">

</div>


<article class="content" id="textContent">

<h1>Как заблокировать сайт микротиком</h1>
<p>Популярная серия бюджетных маршрутизаторов из Латвии на базе RouterOS предоставляет пользователям широкие возможности по настройке. Сегодня я подробно рассмотрю возможности mikrotik по блокировке сайтов, рекламы, социальных сетей, по созданию списка запретов на доступ. Все эти средства присутствуют в роутерах из коробки и не требуют специальных знаний для настройки, кроме стандартных средств управления.</p>
<p>Данная статья является частью единого цикла статьей про Mikrotik.</p>
<h2>Как быстро закрыть доступ к сайту</h2>
<p>Начнем с самого простого. У нас есть роутер Mikrotik, утилита winbox и желание конкретному пользователю установить запрет на посещение определенного сайта. В моем примере это будет запрет на доступ к сайту одноклассники - ok.ru. Подключаемся к роутеру и идем в раздел IP -&gt; Firewall , открываем вкладку Address List :</p>
<p>Нажимаем на + и создаем список для блокировки сайта:</p>
<p>Мы заполнили 2 поля:</p>
<ol>
  <li><strong>Name</strong> - имя списка. Может быть любым.</li>
  <li><strong>Address</strong> - адрес сайта. Параметр может принимать значения как ip адреса, так и доменного имени.</li>
</ol>
<p>После добавления списка с адресом в виде доменного имени, происходит автоматический резолв имени в ip адрес. После этого создаются динамические записи в списке уже из конкретных IP адресов. Эти IP адреса берутся из записей типа A в DNS.</p>
<p>У сайта может быть несколько разных доменных имен. Они могут резолвиться в разные IP адреса, так что имеет смысл добавить в список все домены, которые вам известны.</p>
<p>Я добавил на всякий случай адрес odnoklassniki.ru, но по факту в этом нет смысла, так как он резолвится в те же самые ip адреса, что и ok.ru. Новых динамических записей не добавилось.</p>
<p>Теперь настраиваем правило блокировки с использованием созданного ранее списка. Для этого идем на вкладку Filter Rules и добавляем новое правило.</p>
<ul>
  <li><strong>Chain</strong> - forward. Цепочка для транзитных пакетов, которые идут через роутер. В том числе все, что проходит из локальной сети.</li>
  <li><strong>Src. Address</strong> - 192.168.13.16. IP ардес, для которого будет работать блокировка. Если хотите заблокировать сайт для всех, можно просто не заполнять это поле. Вместо ip адреса можно указать разом всю подсеть - 192.168.13.0/24.</li>
  <li><strong>Protocol</strong> - tcp. Если не указывать протокол, то тоже будет работать блокировка, но чем более конкретно указано правило, тем лучше в общем случае.</li>
</ul>
<p>Переходим на вкладку Advanced и указываем там список odnoklassniki, который создали ранее.</p>
<p>Далее открываем вкладку Action .</p>
<p>Тут все просто - отбрасываем указанные пакеты, отправляя в ответ ошибку icmp - <strong>icmp-network-unreachable</strong>. На время отладки можете поставить галочку log, чтобы в логе видеть все сработанные правила с блокировкой социальной сети.</p>
<p>Для того, чтобы правило блокировки работало, его необходимо разместить в списке выше правила, разрешающего трафик из локальной сети в интернет. У меня примерно так получилось.</p>
<p>На этом основная настройка закончена. В данный момент правило по фильтрации сайта уже работает. Мы с помощью стандартных средств mikrotik смогли заблокировать ok.ru. Это нетрудно проверить на клиенте. При попытке открыть адрес сайта популярной соц. сети он получит следующее сообщение в браузере.</p>
<p>В данном случае мы в ручном режиме сделали блокировку сайта конкретному пользователю. Если у вас таких сайтов и пользователей много, процесс надо по-возможности автоматизировать.</p>
<h2>Черный список сайтов для фильтрации</h2>
<p>Для того, чтобы не создавать отдельные правила для каждого сайта, можно просто создать общий список блокировки и добавлять туда домены. Покажу на примере популярных видеохостингов. Настроим блокировку одним правилом youtube.com, vimeo.com, rutube.ru, ivi.ru, video.mail.ru. Для этого идем в раздел IP -&gt; Firewall -&gt; Address List и добавляем их все туда. Получился такой статический список.</p>
<p>На основе этого списка сформировался набор динамических записей с ip адресами добавленных доменов.</p>
<p>Дальше точно так же создаем правило блокировки в firewall, как мы это сделали в предыдущем примере с одним сайтом, только указываем наш список видеохостингов. В данном случае принципиальной разницы нет, один у нас сайт или список.</p>
<h2>Запретить социальные сети в mikrotik</h2>
<p>Сейчас на примере списка социальных сетей разберу еще один подход к блокировке сайтов в mikrotik. Он будет основываться не на резолве доменных имен в ip адреса, а на анализе содержимого пакетов с помощью <strong>Layer7 Protocol</strong>. Его преимущество именно в том, что он анализирует содержимое пакетов. Теоретически, это более надежный способ блокировки, так как ip адреса сайтов могут меняться. В случае статических правил с ip адресами это может приводить к тому, что в какой-то момент они станут не актуальны. С эти тоже можно бороться, обновляя списки, но это отдельная тема.</p>
<p>Я расскажу, как использовать Layer7 Protocol в микротике для блокировки социальных сетей просто для примера, чтобы вы знали, что есть такой механизм и его можно использовать.</p>
<p>Для этого создаем правило Layer7 Protocol в соответствующем разделе Winbox IP -&gt; Firewall -&gt; Layer7 Protocols для блокировки социальной сети facebook.</p>
<p>Теперь нам нужно промаркировать все соединения и пакеты в dns запросах, где будет совпадение с созданным ранее правилом. Идем во вкладку Mangle и добавляем правило маркировки соединений.</p>
<p>Чтобы не перепутать какие-то параметры, можете просто ввести в консоли команду и проверить созданное правило.</p>
<p>И еще одно правило для маркировки пакетов на основе промаркированного выше соединения.</p>
<p>Пакеты промаркировали. Теперь создаем 2 блокирующих правила для цепочек input и forward. Для этого идем во вкладку Filter Rules и добавляем 2 правила. Я не буду показывать картинки, их и так уже полно в статье. Правила простые, введите их в консоль сами.</p>
<p>Далее важно эти правила правильно расположить в списке правил. Они обязательно должны быть выше разрешающих правил для цепочек input и forward. Примерно так.</p>
<p>На время отладки я включаю логирование правил, обнуляю счетчики и начинаю тестировать. Если что-то пойдет не так, проверьте так же счетчики в разделе Mangle . Если там будет пусто, значит ошибка либо в правиле Layer7 Protocols, либо в самих правилах маркировки. Я, когда тестировал, неправильно расположил правила в Firewall. В итоге в правилах маркировки счетчики росли, пакеты маркировались, но блокировки не было. Это было видно по нулевым счетчикам в Firewall. После того, как правильно расположил правила, блокировка социальной сети facebook заработала как надо.</p>
<p>Объясняю логику работы данной блокировки. Мы маркируем все соединения к dns серверу, удовлетворяющие указанному regex в правиле Layer7. Далее маркируем все пакеты из этого соединения. Потом в фаерволе блокируем эти соединения. Если клиент использует DNS сервер на микротике, запросы блокируются правилом цепочки input, если используется сторонний, то в блок пакеты попадают по правилу цепочки forward. В итоге у клиента не работает резолвинг доменного имени в ip и он не может попасть на сайт через браузер. Конечно, при желании, эту блокировку соцсети можно обойти. Для наибольшей эффективности надо комбинировать оба предложенных в статье способа.</p>
<p>Для тех, кому интересно, почему я описал именно такой способ блокирования нежелательных сайтов, поясню. Подсмотрел его в недавно переведенной мной презентации от сотрудника Mikrotik, где он дает рекомендации по настройке. Я просто попробовал его реализовать и все получилось. Решил его добавить в эту статью. Все вопросы и претензии по реализации прошу отправлять автору метода, не мне :) Мопед, как говорится, не мой.</p>
<h2>Блокировка рекламы средствами mikrotik</h2>
<p>С помощью изученного средства по ограничению доступа к сайтам достаточно просто блокировать любую рекламу. Для примера рассмотрим вариант по блокировке рекламы в Skype. Так как я знаю адреса серверов, куда скайп лезет за рекламой, я могу его заблокировать в mikrotik. У меня есть список:</p>
<p>Это адреса, откуда загружается реклама. Списки эти могут меняться время от времени, нужно периодически проверять и обновлять. Самому подготовить список рекламных адресов для конкретного сервиса можно, к примеру, с помощью настройки собственного dns сервера и включения логирования запросов.</p>
<p>Дальше как обычно создаем regexp выражение для списка адресов:</p>
<p>Либо делаете список с dns именами, как я показал в самом начале, если не хотите использовать Layer7 для этого. Добавляем новое правило блокировки в firewall, подключаем к нему список, созданный ранее и наслаждаемся работой скайпа без рекламы.</p>
<h2>Заключение</h2>
<p>Материала в интернете по Микротику много. Я сам пока разбирался в данном вопросе перечитал кучу статей. И все они какие-то недоделанные. Либо вопрос слабо раскрыт, либо что-то вообще не работает. Не знаю, в чем причина такой ситуации. Возможно что-то меняется в настройках и информация становится неактуальной. Сходу у меня не заработала фильтрация на основе Layer7 Protocols, пришлось повозиться, покопаться в regexp, в правилах, в их расположениях. Надеюсь мой материал немного исправит данную ситуацию.</p>
<p>Буду рад любым замечаниям к статье, так как сам учусь в процессе написания. В своей работе лично я не использую какие либо ограничения доступа к сайтам, так как считаю это бесполезным занятием. Но многие пользуются, поэтому разбираться в этом вопросе считаю полезным делом. К тому же эти блокировки с помощью микротика могут быть актуальны дома для ограничения доступа детей к нежелательным сайтам. Так же можно по расписанию отключать доступ к youtube, к примеру, после 22 часов.</p>
<p>Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.</p><div style='margin-top:2em; display:flex; flex-wrap:wrap; gap:10px'><a href='/509.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/81136.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/75725.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/36268.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/92212.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/14444.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/79104.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/37551.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/21399.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/21485.html' style='text-decoration:none;font-size:1.5em'>📎</a></div><script type="application/ld+json">{
    "@context": "https:\/\/schema.org",
    "@type": "Article",
    "headline": "Как заблокировать сайт микротиком",
    "url": "\/17618.html",
    "publisher": {
        "@type": "Organization",
        "name": "site"
    }
}</script>

</article>


</div>

</div>

</main>


<footer>

<div class="legal">

<p><strong>Отказ от ответственности.</strong> Материалы на сайте публикуются пользователями. Администрация не несёт ответственности за размещённый контент и его содержание.</p>

<p>Если вы считаете, что какой-либо материал размещён неправильно, сообщите об этом. После проверки публикация будет удалена либо отредактирована.</p>

</div>

</footer>


<script>

let currentFontSize=18;

function adjustFont(change){

const content=document.getElementById("textContent");

currentFontSize+=change;

if(currentFontSize<14) currentFontSize=14;
if(currentFontSize>36) currentFontSize=36;

content.style.fontSize=currentFontSize+"px";

}

function hidePanel(){

document.querySelector(".font-panel").style.display="none";

}

</script>


</body>
</html>