Не работает Firewall блокировка по Layer 7

Базовая функциональность RouterOS
xintrea
Сообщения: 2
Зарегистрирован: 21 фев 2022, 01:36

Не работает Firewall блокировка по Layer 7

Сообщение xintrea »

Имеется RouterOS v6.49 (stable)

Попытался сделать блокировку рекламы Youtube. Роутер слабый, делать через скрипты не хочу, нужно чтоб попроще и попонятнее. Делал вот по этой статье:

https://lanmarket.ua/stats/Mikrotik-Rou ... protokola/

Что я делал:

1. Создал во вкладке Layer 7 Protocols запись:

Код: Выделить всё

Name: RegexpAdYoutube
Regexp: ^.*(doubleclick.net|[tpc.|ad.*]googlesyndication.com).*$
2. Создал на вкладке Firewall Rules правило с параметрами:

Код: Выделить всё

Enabled: [v]

General ---------------------------
  Chain:            forward
  Protocol:         6 (tcp)
Advanced --------------------------
  Layer 7 Protocol: RegexpAdYoutube
Action ----------------------------
  Action:           drop

Comment: Drop Youtube ad package
3. Разместил данное правило повыше, чтоб гарантированно срабатывало:

Изображение

Ну и, судя по статье, блокировка должна работать. Однако, реклама не блокируется, и URL-ы, попадающие под регулярку, свободно открываются в браузере:

Код: Выделить всё

googleads.g.doubleclick.net
ade.googlesyndication.com
tpc.googlesyndication.com
pagead2.googlesyndication.com
ad.doubleclick.net
Вопрос: чето где еще надо крутить, чтобы блокировка работала?
-----
Со всяческими пожеланиями, Сергей.
https://webhamster.ru
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Не работает Firewall блокировка по Layer 7

Сообщение Chupaka »

Здравствуйте.

Ну, Google уже давно балуется с HTTP over QUIC, а он по UDP, а не TCP работает - это как одна из возможных причин. Статья-то восьмилетней давности...
xintrea
Сообщения: 2
Зарегистрирован: 21 фев 2022, 01:36

Re: Не работает Firewall блокировка по Layer 7

Сообщение xintrea »

Chupaka писал(а): 21 фев 2022, 13:11 Ну, Google уже давно балуется с HTTP over QUIC, а он по UDP, а не TCP работает - это как одна из возможных причин. Статья-то восьмилетней давности...
Ну так я же проверяю блокировку просто через строку URL в браузере. И Youtube смотрю в браузере на компе а не в приложении на мобильнике.

Вопрос был в том, как блокировать URL по регэкспу через Layer 7, без разницы какой давности статья.
-----
Со всяческими пожеланиями, Сергей.
https://webhamster.ru
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Не работает Firewall блокировка по Layer 7

Сообщение Chupaka »

А при чём тут приложение на мобильнике? QUIC, он же HTTP/3, поддерживается популярными браузерами уже не первый год.

Вопрос был про неработающую блокировку через Layer 7 - я вам и ответил на него: вы обрабатываете TCP-трафик, а за то время, пока статья лежала себе на том сайте, в Интернете появился новый протокол и браузеры стали его поддерживать. Заблокируйте на роутере (IP -> Firewall -> Filter -> Forward) UDP-трафик на порт 443 для верности: из QUIC хоть и можно извлечь SNI с запрашиваемым доменным именем, но для этого надо расшифровать пакет, поэтому L7 тут не поможет. Если же 443/UDP заблокировать, браузер должен отвалиться обратно на HTTPS через TCP