[Mikrotik] How to block website with Mikrotik (RouterOs)

   Các phương pháp block website với Mikrotik
    1. Web proxy
    2. Route policy
    3. Content Filter
    4. Layer 7 Firewall 

Đối với các nhà quản trị mạng, quản trị hệ thống của một công ty thì việc block website đem lại rất nhiều lợi ích như hạn chế một số trang theo yêu cầu của ban giám đốc thì còn hạn chế traffic cho các trang web ko cần thiết trong công việc như xem phim, nghe nhạc v.v...

Và ở đây mình xin trình bày vài cách block website với thiết bị router Mikrotik (RouterOs) một thiết bị network còn tương đối mới lạ, không được sử dụng rộng rãi như Cisco hay Juniper nhưng đang dần dần thể hiện là một trong những thiết bị network rẻ, hiệu năng cực kì tốt, nhiều tính năng hay, bảo mật.

1. Web proxy

Đầu tiên ta enable web proxy ở trong mục ip - web proxy

Như đã nói ở mục 1 về các loại proxy thì thông thường các công ty hay sử dụng Transparent web proxy để các user không biết đang dùng 1 proxy và bị kiểm soát, và không cần phải thiết lập các thông số proxy trong các trình duyệt web. Ta config thêm vào Firewall - Nat

ip firewall nat
/add chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80

Sau đó để block website chúng ta vào phần IP - Web proxy chọn access Kết quả

2. Route policy

Chúng ta sẽ sử dụng tính năng route của router để block website đó Nhược điểm của cách này là ko hỗ trợ domain, và sẽ block tất cả traffic tới IP đó Ở đây mình thử block website vnexpress.net bằng cách block ip của trang web đó, ta sử dụng nslookup để coi ip của trang web Ta vào IP - Route tạo 1 chain như sau Dst add: ip trang web muốn block Gateway: cổng đi ra internet Type: blackhole

3. Content Filter

Ở đây ta sử dụng Firewall để block tất cả traffic sử dụng port 80,443 có nội dung là "vnexpress" Chúng ta vào ip - firewall - filter src add: địa chỉ ip mạng Lan mà ta muốn bị chặn bởi content vnexpress

4. Layer 7 Firewall

Ta sẽ chặn website ở layer 7 application Đầu tiên ta phải tạo 1 chain, vào ip - firewall - layer 7 protocols Điền vài Regexp: .*(vnexpress)+.* Như vậy là ta đã chặn đc vnexpress

Nhược điểm của chặn kiểu layer 7 này là router phải hoạt động công suất cao để tìm kiếm những packet có chứa dữ liệu mà ta đã nhập trong Regexp.