[研究所] MikroTik RouterOS 學習 (持續更新) (第390頁)

gfx

gfx
個人積分：1603分
文章編號：57417976

1603分

3891樓

2015-09-11 21:42

chenbbs wrote:
Src. Address...(恕刪)

都跟您說把dst-port的東西改到src-port了,您怎沒做?

chenbbs

chenbbs
個人積分：16分
文章編號：57418703

16分

3892樓

2015-09-11 22:49

gfx wrote:
都跟您說把dst-port...(恕刪)

拍謝，我沒說清楚

dst-port原本只有設定一組209.85.229.125
後來改用Address List

再依gfx大說的，

dst-port改為192.168.88.0/24
Src. Address List 設gtalk

gfx

gfx
個人積分：1603分
文章編號：57420036

1603分

3893樓

2015-09-12 0:58

chenbbs wrote:
拍謝，我沒說清楚dst...(恕刪)

真是的,我都已經強調src-address-list 與dst-address都沒問題.
您怎麼還是卡在死胡同跳不出來?

src是來源的意思,也是從google進來的封包..
所以要封鎖src-address-list=gtalk src-port=5222-5224,5228-5229,5269,19305-19309

dst是目的,所以dst-address=192.168.88.0/24 dst-port 都是在設定您的內網.
google伺服器有架在您的內網內嗎,您封自己的port幹嘛?

chenbbs

chenbbs
個人積分：16分
文章編號：57420600

16分

3894樓

2015-09-12 3:24

gfx wrote:
真是的,我都已經強...(恕刪)

真的是鬼遮眼..仔細看才發現一直搞錯 orz

改完再重進gmail測試hangouts還是擋不掉，rule沒有偵測到封包

turion111

turion111
個人積分：102分
文章編號：57421801

102分

3895樓

2015-09-12 9:52

gfx大您好!
小弟按照您所說的做法去測試後還是無法使用理財寶
只能將/ip firewall nat裡這行
add action=redirect chain=dstnat comment="web proxy" disabled=yes dst-port=80 protocol=tcp to-ports=8080
關閉後才能正常使用理財寶
最後想到手動一台一台將瀏灠器設定proxy指到ros就可以正常使用web proxy
而且不會和理財寶沖突

另外小弟若在web proxy裡設定parent proxy指到proxy.hinet.net port 80後
瀏灠器開啟網頁就會相當慢，也有可能某些網頁也打不開
將parent proxy 關閉後開啟網頁速度就非常快了

gfx

gfx
個人積分：1603分
文章編號：57421807

1603分

3896樓

2015-09-12 9:53

chenbbs wrote:
真的是鬼遮眼..仔...(恕刪)

把tcp port:80,443 也加到src-port封鎖試試.

另外一個問題是您找到的gtalk 確定是hangouts伺服器清單嗎?

gfx

gfx
個人積分：1603分
文章編號：57422250

1603分

3897樓

2015-09-12 10:43

turion111 wrote:
gfx大您好!小弟...(恕刪)

您的/ip firewall filter 一定有這rule:
add action=drop chain=input connection-limit=10,32

把它修正為:
add action=drop chain=input connection-limit=10,32 protocol=tcp src-port=!80

這樣才不會影響到您使用hinet proxy.
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
若您覺得採#3887樓的做法不可行,那只能寫腳本:

1.把#3887樓的設定取消

2.在nat設定裡把 dst-address=!1.1.1.1"加到您原本的設定:

3.輸入命令,取得rule的array:

3.新增排程:

On Event內容:

:local stock ("!".[:resolve stock.cmoney.tw])
:if ([/ip firewall nat get *2c dst-address]!=$stock) \
do={/ip firewall nat set *2c dst-address=$stock}

注意*2c是我的array ,非您的.

若腳本有工作,您會發現nat的!1.1.1.1被替換掉,換成stock.cmoney.tw的地址
若stock.cmoney.tw有更新新的地址,腳本也會不斷的進行替換.

turion111

turion111
個人積分：102分
文章編號：57423750

102分

3898樓

2015-09-12 13:27

gfx大您好!
小弟使用您所提供的腳本做stock.cmoney.tw測試
發現只有三個ip不斷做變化
開啟理財寶程式後就很好玩了
每次就像在玩樂透
只要登入的主機和變化的ip是相符的
就能順利使用
若是不相符就無法進入
需要重新登入再玩一次直到符合條件才觸發

忽然間想到將三個ip全記錄在address list中叫stock
然後在dst-address-list中做!stock
就能100%觸發正常使用理財寶了!!

add action=redirect chain=dstnat comment="web proxy" dst-address-list=!stock dst-port=80 protocol=tcp to-ports=8080

chenbbs

chenbbs
個人積分：16分
文章編號：57428839

16分

3899樓

2015-09-12 23:11

gfx wrote:
把tcp port:80,443 也加到src-port封鎖試試.

另外一個問題是您找到的gtalk 確定是hangouts伺服器清單嗎?

80,443有加上去了，hangouts的ip清單是網上有網友整理的，依那些清單來測試確實沒辦法封鎖住

使用ros的Torch來監看hangouts載入時的ip，直接把網段加入Address list中有成功，卻也封鎖到其他的google服務

google找了幾篇文章，dell官方的文件中有提到

This solution blocks DNS requests / responses only. If Google Hangouts is open before enabling this rule, it might allow access. However, when attempting to open afresh, it will be blocked.

ros中不知道有沒有類似的作法呢？

How to block Google Hangouts (Chat/Voice/Video)

How to Block Chat Within Gmail

How to block Google Hangouts on Desktop and mobile devices using App Rules

gfx

gfx
個人積分：1603分
文章編號：57429616

1603分

3900樓

2015-09-13 0:35

chenbbs wrote:
80,443有加上...(恕刪)

如果網路給您的資訊沒有用,那您就得自己觀察.
用connections的查詢功能,去查您連了那些ip ,以及port.

連線有分查詢及回應.
假設77.234.44.60是hangouts伺服器,
圖上即代表192.168.88.104:49161 對77.234.44.60:80 進行查詢.
然後hangouts接受了,再從77.234.44.60:80 對192.168.88.104:49161 進行回應.

所以在進行查詢的動作時:
來源即您的電腦src-address=192.168.88.104 ,目的則是hangouts_dst-address=77.234.44.60

但在進行回應的動作時:
來源即hangouts_src-address=77.234.44.60 ,目的則是您的電腦dst-address=192.168.88.104

查詢和回應都要無礙,連線才能建立的起來.

所以在封鎖hangouts時,
你可選擇封鎖查詢,或封鎖回應這兩條路選擇其一.

聰明的你應該可聯想到youtube教的,即是對hangouts查詢進行封鎖.
從他定義dst-address=hangouts就觀察的到;

而小弟是將dst-address設為內網,這就代表針對的是src-address ,
也就對src-address=hangouts回應進行封鎖.

這樣明白嗎? 對於防火牆做法,封查詢 ,或是回應是可您自己選擇的.
請依您的想法去做~