U poslovnom okruženju s vremena na vrijeme dođe potreba da se blokira pristup nekim web stranicama ili servisima. Možda čak i ne samo u poslovnom okruženju, već možda i kod kuće ako nekom od ukućana treba uskratiti pristup Internetu zbog ovog ili onog razloga.
Na Mikrotiku postoji više metoda koje se mogu koristiti za blokiranje web stranica. Neke su dobre, druge pak traže više hardverskih resursa što može dovesti do sporog rada samog Mikrotika. Čak i sami Mikrotik ne preporučuje korištenje L7 za korištenje blokiranja web stranica.
Zato sam se kod sebe odlučio zapravo na kombinaciju Mikrotik + Pi-Hole za blokiranje web stranica. Svaki radi svoj dio, a zajedno čine sustav koji uspješno radi svoj posao sprečavanja pristupa traženim web stranicama i servisima.
U nastavku ćemo naučiti kako konfigurirati Mikrotik i zašto ubaciti Pi-Hole u priču.
Konfiguracija blokiranja web stranica na Mikrotik routeru
Od RouterOS verzije v6.41 Mikrotik je ubacio opciju „TLS Host“ koja omogućuje blokiranje https prometa, jer znamo da današnje stranice sve rade na https protokolu, odnosno port 443.
Konfiguracija je vrlo jednostavna zapravo:
- Otići na Firewall > Firewall Rules i kliknuti na znak „+“ da se doda novo pravilo
- U tabu General odabrati
- Chain: forward
- Src. Address: navesti IP adresu uređaja kojem treba biti blokiran pristup stranicama (ukoliko se radi samo o jednom specifičnom klijentu. Za više njih se može koristiti Source Address List)
- Protocol: TCP
- Destination port: 443
- Out Interface: navesti interface koji vodi van na Internet
- U tabu Advanced:
- Dolje pod TLS Host navesti stranicu koja se treba blokirati.
Odnosno, pošto u ovom primjeru radimo blokiranje svega osim jedne, onda pored imena kliknuti na kućicu da se pojavi znak uskličnika.
Ovaj uskličnik je logički „Not“, što znači da će ovo pravilo blokirati SVE stranice OSIM one koja je navedena u polju.
- Dolje pod TLS Host navesti stranicu koja se treba blokirati.
- U tabu Action:
- Pod Action: reject
- Reject With: tcp reset
Ovime je riješena konfiguracija na Mikrotik strani.
Time će se blokirati većina web stranica, ali ne sve.
Google, YouTube i ostali Google-vezani servisi će i dalje prolaziti. Zašto?
Zato jer Google i njegovi servisi koriste QUIC protokol, a u trenutku pisanja ovog članka nisam još našao način kako uspješno blokirati to na samom Mikrotiku.
Zato ovdje u priču dolazi Pi-Hole koji je zapravo zasebni DNS server (tehnički gledano).
Konfiguracija blokiranja web stranica na Pi-Hole
U Pi-Hole ćemo složiti da sve domene i pod domene od google.com i youtube.com budu blokirane.
Pretpostavlja se da već postoji složeni Pi-Hole server koji se koristi.
Ako ne znaš što je Pi-Hole i nemaš ga kod sebe, svakako pogledaj kako postaviti Pi-Hole i čemu služi.
Idemo redom
- Pod Group Management otići na Groups i napraviti novu grupu
- Pod Domains dodati domene google.com i youtube.com na listu blokiranja (Blacklist) i dodijeliti te dvije adrese u grupu koja ne napravljena u prvom koraku.
Također staviti kvačicu na „Add domin as wildcard“ kako bi se blokirale i sve pod domene od tih dviju adresa.
- Zadnji korak je određivanje koji uređaj neće moći na Google usluge.
Pod Clients navesti IP adresu uređaja i dodijeliti ga grupi kreiranoj u prvom koraku.
Zaključna riječ
U kombinaciji Mikrotika i Pi-Hole za blokiranje web stranica na ovaj način se uspješno blokira pristup stranicama a ujedno se ne opterećuje Mikrotik uređaj i njegove hardverske resurse.
Ovaj način sigurno radi ono što treba, ali je nedostatak što je potrebno imati dodatnu opremu da bi se sve složilo.
Uz neku poslovnu opremu ovo naravno ne bi bilo potrebno, ali za kućne potrebe ili manjeg poslovnog ureda, ovo je odlično rješenje.
