fy"> / ip firewall mangle add action=mark-packet chain=registry layer7-
protocol=chelaxe new-packet-mark=reg passthrough=no
/ ip firewall nat add action=dst-nat chain=dstnat dst-port=80 packet-
mark=reg protocol=tcp to-addresses=192.168.0.200 to-ports=80
Але даний підхід не спрацював. Причини була в повільній обробці пакетів допомогою L7. За цим від L7 довелося відмовитися. Реалізація цього завдання стало використання проксі вбудованого в MikroTik. Логіка роботи залишилася та ж. Вибираючи пакети по IP адресою призначення який належить забороненого домену, ми перенаправляємо на порт проксі, де в його правилах забороняємо доступ за певним URL адресою. Приклад:
/ ip firewall nat add action=redirect chain=dstnat comment=registry dst-
address=91.201.52.97 dst-port=80 protocol=tcp src-address=192.168.0.0/24
to-ports=8080
/ ip proxy access add action=deny dst-host=chelaxe path=/ summary /
redirect-to=192.168.0.200
Тепер клієнт бачить сайт заглушку і розуміє причину відсутності доступу.
Весь цей функціонал був реалізований у вигляді служби Windows. Дану службу можна розділити на наступні функціональні блоки:
· Сама служби по автоматичного вивантаження реєстру і застосування його на обладнанні MikroTik допомогою API команд.
· Сайт заглушка на 80 порту
· Форма налаштування і управління службою.
Служби в Windows називається BlackWall. Інформацію і помилки записуються у відповідний системний журнал. База даних зберігається в системній папці Windows. Сайт заглушка має наступний вигляд:
Малюнок 2
Форма налаштування і управління службою виглядає так:
Малюнок 3
Висновок
У процесі проходження переддипломної практики я придбав величезний досвід в розробці програмного забезпечення, проектуванні баз даних, сайту і системному адмініструванні мережі. Познайомився з обладнання MikroTik та їх програмним забезпеченням RouterOS, WinBox. Під час переддипломної практики був розроблений унікальний підхід вирішення завдання. Даний результат був опублікований а різних інтернет-ресурсах розроблена бібліотека для сторонніх проектів знайдені помилки і недоліки в програмному забезпеченні MikroTik про що було повідомлено виробнику. На даний момент дане рішення використовується різними операторами зв'язку по всій Росії (Снежинск, Єкатеринбург, Челябінськ, Кодінск, Краснодар та ін)
Література
1. Єдиний реєстр заборонених сайтів;
2. сайт єдиного реєстру доменних імен, покажчиків сторінок сайтів в мережі «Інтернет» і мережевих адрес, що дозволяють ідентифікувати сайти в мережі «Інтернет», що містять інформацію, поширення якої в Російській Федерації заборонено;
. сайт реєстру доменних імен, покажчиків сторінок сайтів в мережі «Інтернет» і мережевих адрес, що дозволяють ідентифікувати сайти в мережі «Інтернет», що містять інформацію, поширювану з пору...
