MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik

Сегодня поговорим о детях. А именно об их активности в Интернет. В последнее время, ко мне стали достаточно часто обращаться с просьбой «обезопасить» или «ограничить» доступ к сети для детей. Всевозможные Kid Control есть уже пожалуй везде, чуть ли не в чайниках, но здесь рассмотрим конкретный пример для MikroTik. Речь пойдёт о преславутых «обезопасить» и «ограничить». Начнём с безопасности, а потом перейдём к жёстким мерам 😉

Предидущие статьи:
MikroTik настройка для начинающих. Часть 1 — Настройка интернет в MikroTik
MikroTik настройка для начинающих. Часть 2 — Настройка Wi-Fi в MikroTik
MikroTik настройка для начинающих. Часть 3 — Настройка VPN в MikroTik

 

Следующие статьи:

 

Способы фильтрации

Первый, самый простой и понятный способ обезопасить детишек от «взрослого» контента — это установить безопасный DNS.

Что такое DNS (Из Яндекса)
DNS — это адресная книга интернета, где указан цифровой адрес каждого сайта. Например, yandex.ru «живёт» по адресу 213.180.204.11.
Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS. Чем быстрее работает ближайший к вам DNS-сервер, тем быстрее откроется сайт.

Конечно, можно установить его для всех и забыть, но как же «вот это всё» для взрослых?

Второй способ более редкий, но отвечая на вопрос подписчика я не мог его не упомянуть. Речь идёт о двух разных провайдерах или каналах (модемах), с интернетом для детей и для всех остальных соответственно. Здесь в отличие от первого способа, мы направляем весь избранный трафик исходящий от детей в нужный нам канал.

Контент фильтр на основе DNS

Начнём. Первое что нужно сделать, это выделить наших Пашу и Машу из сети с минимальными изменениями в конфигурации маршрутизатора. Как это сделать? Очень просто! Так как фильтруем мы запросы при помощи безопасного DNS, то всё что нам нужно для этого, это направить все DNS запросы Паши и Маши в нужное русло.

Наши три простых шага.

• Фиксация IP адресов;
• Список IP адресов;
• Трансляция DNS запросов.

 
 

Фиксация IP адресов

Для того чтобы мы могли всегда точно идентифицировать устройства Паши и Маши в сети, нам нужно зафиксировать их IP адреса в DHCP сервере.

Теперь мы знаем, что у Паши IP 192.168.1.10, а у Маши IP 192.168.1.11. Естественно, устройств (адресов) может быть и больше, как для каждого так и в целом. Данное действие пригодится не только для данного типа фильтрации.

 
 

Список IP адресов

Следующим действием нужно создать адрес лист с устройствами наших детишек. Назовём его «Kids». Вводить название нужно только один раз. После добавления первого адреса, список уже будет существовать, его нужно будет просто выбрать.

Это два обязательных шага для первого и второго способа.

 
 

Трансляция DNS запросов

Теперь нужно направить все DNS запросы Паши и Маши на безопасный DNS сервер. В примере использован Семейный DNS от Яндекс.DNS 77.88.8.7 77.88.8.3. Как правило, для DNS запросов используется порт 53 UDP, но мы поступим в соответствии с RFC 1035 и добавим правило и для TCP (не обязательно). Создаём новое правило, указываем порт.

Выбираем список адресов «Kids» который мы создали ранее.

Выбираем действие «netmap», указываем адрес Яндекс.DNS 77.88.8.7 и копируем правило (не обязательно).

В скопированном правиле меняем UDP на TCP и сохраняем оба правила.

Важно!
Для того, чтобы эти правила работали, нужно перетянуть их в самый верх списка, сделав тем самым более приоритетными по отношению к основному правилу трансляции. В случае если используется боле сложная конфигурация NAT, то последовательность может быть иной.

Теперь можно попробовать открыть не желательный сайт с устройства ребёнка и проверить результат.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.

Раздельная маршрутизация

Напомню, что для этого способа, нам понадобятся первые два шага из первого способа. Данный способ работает следующим образом. Перед действием маршрутизации трафика от устройств из списка «Kids», мы маркируем его маркером «Kids-mark». Далее, маркированный трафик мы маршрутизируем через нужный нам маршрут (провайдер 2). Тем временем, весь остальной трафик идёт через маршрут по умолчанию

Наши шаги.

• Маркировка маршрута;
• Маршрутизация;
• Маршрут по умолчанию.

 
 

Маркировка маршрута

Создаём новое правило маркировщика. Выбираем цепочку «prerouting».

Выбираем список адресов «Kids» который мы создали ранее.

Выбираем действие «mark routing», даём название маркеру «Kids-mark» и сохраняем правило.

 
 

Маршрутизация

Теперь необходимо создать маршруты. Если они получены по DHCP, то маршрут от (провайдера 2) необходимо изменить, отключив добавление маршрута по умолчанию в DHCP клиенте. Копируем (если DHCP) или создаём маршрут для провайдера 1.

Копируем (если DHCP) или создаём маршрут для провайдера 2. Важно указать параметр «distance» большим чем у провайдера 1.

 
 

Маршрут по умолчанию

Если маршрутизатор получает настройки сети от провайдеров по DHCP, то необходимо отключить добавление маршрута по умолчанию в DHCP клиенте для каждого провайдера.

Вот и всё! Можно проверять работу маршрутизатора.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.

 
 

Ограничение доступа по графику

Теперь поговорим об ограничениях. Речь пойдёт о графике доступа к сети для детишек. В этом нам поможет Kid Control. Концепция очень проста. Для начала создаём правило (график) для каждого детёныша ). Здесь есть два блока с днями недели Пн.-Вс. Первый [5] отвечает за график доступа к сети без ограничений, второй [6] — за доступ с ограничением скорости [7]. Для каждого дня недели, устанавливается временной период, когда доступ к сети есть. Здесь формируем нужный нам график и сохраняем правило.

Теперь необходимо присвоить устройства пользователям. Их может быть несколько. Если устройства нет в списке, то его можно добавить вручную нажав [+].

Вот такими не сложными действиями можно обезопасить и ограничить Интернет для детей. Бесспорно, способов и ситуаций может быть масса, но это тот минимум, за которым обращаются чаще всего.
На этом всё! Читайте продолжения и всем добра!