MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik

Сегодня поговорим о детях. А именно об их активности в Интернет. В последнее время, ко мне стали достаточно часто обращаться с просьбой «обезопасить» или «ограничить» доступ к сети для детей. Всевозможные Kid Control есть уже пожалуй везде, чуть ли не в чайниках, но здесь рассмотрим конкретный пример для MikroTik. Речь пойдёт о преславутых «обезопасить» и «ограничить». Начнём с безопасности, а потом перейдём к жёстким мерам 😉

Предидущие статьи:
MikroTik настройка для начинающих. Часть 1 — Настройка интернет в MikroTik
MikroTik настройка для начинающих. Часть 2 — Настройка Wi-Fi в MikroTik
MikroTik настройка для начинающих. Часть 3 — Настройка VPN в MikroTik

 

Следующие статьи:

 

Способы фильтрации

Первый, самый простой и понятный способ обезопасить детишек от «взрослого» контента — это установить безопасный DNS.

Что такое DNS (Из Яндекса)
DNS — это адресная книга интернета, где указан цифровой адрес каждого сайта. Например, yandex.ru «живёт» по адресу 213.180.204.11.
Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS. Чем быстрее работает ближайший к вам DNS-сервер, тем быстрее откроется сайт.

Конечно, можно установить его для всех и забыть, но как же «вот это всё» для взрослых?

Второй способ более редкий, но отвечая на вопрос подписчика я не мог его не упомянуть. Речь идёт о двух разных провайдерах или каналах (модемах), с интернетом для детей и для всех остальных соответственно. Здесь в отличие от первого способа, мы направляем весь избранный трафик исходящий от детей в нужный нам канал.

Контент фильтр на основе DNS

Начнём. Первое что нужно сделать, это выделить наших Пашу и Машу из сети с минимальными изменениями в конфигурации маршрутизатора. Как это сделать? Очень просто! Так как фильтруем мы запросы при помощи безопасного DNS, то всё что нам нужно для этого, это направить все DNS запросы Паши и Маши в нужное русло.

Наши три простых шага.

 
 

Фиксация IP адресов

Для того чтобы мы могли всегда точно идентифицировать устройства Паши и Маши в сети, нам нужно зафиксировать их IP адреса в DHCP сервере.

Статические IP адреса в MikroTik
Статические IP адреса в MikroTik

Теперь мы знаем, что у Паши IP 192.168.1.10, а у Маши IP 192.168.1.11. Естественно, устройств (адресов) может быть и больше, как для каждого так и в целом. Данное действие пригодится не только для данного типа фильтрации.

 
 

Список IP адресов

Следующим действием нужно создать адрес лист с устройствами наших детишек. Назовём его «Kids». Вводить название нужно только один раз. После добавления первого адреса, список уже будет существовать, его нужно будет просто выбрать.

Список IP адресов в MikroTik
Список IP адресов в MikroTik

Это два обязательных шага для первого и второго способа.

 
 

Трансляция DNS запросов

Теперь нужно направить все DNS запросы Паши и Маши на безопасный DNS сервер. В примере использован Семейный DNS от Яндекс.DNS 77.88.8.7 77.88.8.3. Как правило, для DNS запросов используется порт 53 UDP, но мы поступим в соответствии с RFC 1035 и добавим правило и для TCP (не обязательно). Создаём новое правило, указываем порт.

Трансляция DNS запросов в MikroTik
Трансляция DNS запросов в MikroTik

Выбираем список адресов «Kids» который мы создали ранее.

Трансляция DNS запросов в MikroTik
Трансляция DNS запросов в MikroTik

Выбираем действие «netmap», указываем адрес Яндекс.DNS 77.88.8.7 и копируем правило (не обязательно).

Трансляция DNS запросов в MikroTik
Трансляция DNS запросов в MikroTik

В скопированном правиле меняем UDP на TCP и сохраняем оба правила.

Трансляция DNS запросов в MikroTik
Трансляция DNS запросов в MikroTik

Важно!
Для того, чтобы эти правила работали, нужно перетянуть их в самый верх списка, сделав тем самым более приоритетными по отношению к основному правилу трансляции. В случае если используется боле сложная конфигурация NAT, то последовательность может быть иной.

рансляция DNS запросов в MikroTik
Трансляция DNS запросов в MikroTik

Теперь можно попробовать открыть не желательный сайт с устройства ребёнка и проверить результат.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.

Яндекс.DNS
Яндекс.DNS

Раздельная маршрутизация

Напомню, что для этого способа, нам понадобятся первые два шага из первого способа. Данный способ работает следующим образом. Перед действием маршрутизации трафика от устройств из списка «Kids», мы маркируем его маркером «Kids-mark». Далее, маркированный трафик мы маршрутизируем через нужный нам маршрут (провайдер 2). Тем временем, весь остальной трафик идёт через маршрут по умолчанию

Наши шаги.

 
 

Маркировка маршрута

Создаём новое правило маркировщика. Выбираем цепочку «prerouting».

Маркировка трафика в MikroTik
Маркировка трафика в MikroTik

Выбираем список адресов «Kids» который мы создали ранее.

Маркировка трафика в MikroTik
Маркировка трафика в MikroTik

Выбираем действие «mark routing», даём название маркеру «Kids-mark» и сохраняем правило.

Маркировка трафика в MikroTik
Маркировка трафика в MikroTik

 
 

Маршрутизация

Теперь необходимо создать маршруты. Если они получены по DHCP, то маршрут от (провайдера 2) необходимо изменить, отключив добавление маршрута по умолчанию в DHCP клиенте. Копируем (если DHCP) или создаём маршрут для провайдера 1.

Статический маршрут в MikroTik
Статический маршрут в MikroTik

Статический маршрут в MikroTik
Статический маршрут в MikroTik

Копируем (если DHCP) или создаём маршрут для провайдера 2. Важно указать параметр «distance» большим чем у провайдера 1.

Статический маршрут в MikroTik
Статический маршрут в MikroTik

 
 

Маршрут по умолчанию

Если маршрутизатор получает настройки сети от провайдеров по DHCP, то необходимо отключить добавление маршрута по умолчанию в DHCP клиенте для каждого провайдера.

Маршрут по умолчанию в MikroTik
Маршрут по умолчанию в MikroTik

Вот и всё! Можно проверять работу маршрутизатора.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.

 
 

Ограничение доступа по графику

Теперь поговорим об ограничениях. Речь пойдёт о графике доступа к сети для детишек. В этом нам поможет Kid Control. Концепция очень проста. Для начала создаём правило (график) для каждого детёныша ). Здесь есть два блока с днями недели Пн.-Вс. Первый [5] отвечает за график доступа к сети без ограничений, второй [6] — за доступ с ограничением скорости [7]. Для каждого дня недели, устанавливается временной период, когда доступ к сети есть. Здесь формируем нужный нам график и сохраняем правило.

Kid Control  в MikroTik
Kid Control в MikroTik

Теперь необходимо присвоить устройства пользователям. Их может быть несколько. Если устройства нет в списке, то его можно добавить вручную нажав [+].

Kid Control  в MikroTik
Kid Control в MikroTik

Вот такими не сложными действиями можно обезопасить и ограничить Интернет для детей. Бесспорно, способов и ситуаций может быть масса, но это тот минимум, за которым обращаются чаще всего.
На этом всё! Читайте продолжения и всем добра!

MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik
Метки:             

6 мыслей о “MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik

  • 09.10.2020 в 19:16
    Permalink

    Еще бы неплохо было бы сделать привязку по ARP, что бы Паша и Маша вручную себе другой IP не установили в обход DHCP.

    Ответить
  • 16.11.2020 в 23:17
    Permalink

    Kid Control, сколько его не пробовал, сильно нагружает CPU, в итоге сделал все тоже самое на правилах брандмауэра.

    Ответить
    • 18.11.2020 в 14:41
      Permalink

      Отлично! Честно сказать, не встречался с этой проблемой, но возможно по тому что использую достаточно мощные устройства.
      Поделитесь рецептом? Думаю читателям будет интересно альтернативное решение. Вдруг у кого-то ещё такие особенности.

      Ответить
  • 13.12.2021 в 21:29
    Permalink

    Очень полезная информация. Наконец то я нашла то что искала. Спасибо.

    Ответить
  • 20.11.2022 в 19:33
    Permalink

    Здравствуйте,читаю про настройку Address List для детей,посмотрел у себя в Firewall, а у меня там 4 строчки Port Scannerss с совершенно незнакмыми IP. Стоит ли их удалять для создания своего списка?

    Ответить
    • 21.11.2022 в 14:02
      Permalink

      Здравствуйте! Сами они туда попасть не могли, их туда кто-то добавил. В вашем случае они вам ни как не помешают.

      Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.