Микротик настроить детский контроль

MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik

Сегодня поговорим о детях. А именно об их активности в Интернет. В последнее время, ко мне стали достаточно часто обращаться с просьбой «обезопасить» или «ограничить» доступ к сети для детей. Всевозможные Kid Control есть уже пожалуй везде, чуть ли не в чайниках, но здесь рассмотрим конкретный пример для MikroTik. Речь пойдёт о преславутых «обезопасить» и «ограничить». Начнём с безопасности, а потом перейдём к жёстким мерам 😉

Следующие статьи:

Способы фильтрации

Первый, самый простой и понятный способ обезопасить детишек от «взрослого» контента — это установить безопасный DNS.

Что такое DNS (Из Яндекса)
DNS — это адресная книга интернета, где указан цифровой адрес каждого сайта. Например, yandex.ru «живёт» по адресу 213.180.204.11.
Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS. Чем быстрее работает ближайший к вам DNS-сервер, тем быстрее откроется сайт.

Конечно, можно установить его для всех и забыть, но как же «вот это всё» для взрослых?

Второй способ более редкий, но отвечая на вопрос подписчика я не мог его не упомянуть. Речь идёт о двух разных провайдерах или каналах (модемах), с интернетом для детей и для всех остальных соответственно. Здесь в отличие от первого способа, мы направляем весь избранный трафик исходящий от детей в нужный нам канал.

Контент фильтр на основе DNS

Начнём. Первое что нужно сделать, это выделить наших Пашу и Машу из сети с минимальными изменениями в конфигурации маршрутизатора. Как это сделать? Очень просто! Так как фильтруем мы запросы при помощи безопасного DNS, то всё что нам нужно для этого, это направить все DNS запросы Паши и Маши в нужное русло.

Наши три простых шага.

Фиксация IP адресов

Для того чтобы мы могли всегда точно идентифицировать устройства Паши и Маши в сети, нам нужно зафиксировать их IP адреса в DHCP сервере.
Статические IP адреса в MikroTik
Теперь мы знаем, что у Паши IP 192.168.1.10, а у Маши IP 192.168.1.11. Естественно, устройств (адресов) может быть и больше, как для каждого так и в целом. Данное действие пригодится не только для данного типа фильтрации.

Список IP адресов

Следующим действием нужно создать адрес лист с устройствами наших детишек. Назовём его «Kids». Вводить название нужно только один раз. После добавления первого адреса, список уже будет существовать, его нужно будет просто выбрать.
Список IP адресов в MikroTik

Это два обязательных шага для первого и второго способа.

Трансляция DNS запросов

Теперь нужно направить все DNS запросы Паши и Маши на безопасный DNS сервер. В примере использован Семейный DNS от Яндекс.DNS 77.88.8.7 77.88.8.3 . Как правило, для DNS запросов используется порт 53 UDP, но мы поступим в соответствии с RFC 1035 и добавим правило и для TCP (не обязательно). Создаём новое правило, указываем порт.
Трансляция DNS запросов в MikroTik

Выбираем список адресов «Kids» который мы создали ранее.
Трансляция DNS запросов в MikroTik

Выбираем действие «netmap», указываем адрес Яндекс.DNS 77.88.8.7 и копируем правило (не обязательно).
Трансляция DNS запросов в MikroTik

В скопированном правиле меняем UDP на TCP и сохраняем оба правила.
Трансляция DNS запросов в MikroTik

Важно!
Для того, чтобы эти правила работали, нужно перетянуть их в самый верх списка, сделав тем самым более приоритетными по отношению к основному правилу трансляции. В случае если используется боле сложная конфигурация NAT, то последовательность может быть иной.
Трансляция DNS запросов в MikroTik

Теперь можно попробовать открыть не желательный сайт с устройства ребёнка и проверить результат.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.
Яндекс.DNS

Раздельная маршрутизация

Напомню, что для этого способа, нам понадобятся первые два шага из первого способа. Данный способ работает следующим образом. Перед действием маршрутизации трафика от устройств из списка «Kids», мы маркируем его маркером «Kids-mark». Далее, маркированный трафик мы маршрутизируем через нужный нам маршрут (провайдер 2). Тем временем, весь остальной трафик идёт через маршрут по умолчанию

Маркировка маршрута

Создаём новое правило маркировщика. Выбираем цепочку «prerouting».
Маркировка трафика в MikroTik

Выбираем список адресов «Kids» который мы создали ранее.
Маркировка трафика в MikroTik

Выбираем действие «mark routing», даём название маркеру «Kids-mark» и сохраняем правило.
Маркировка трафика в MikroTik

Маршрутизация

Теперь необходимо создать маршруты. Если они получены по DHCP, то маршрут от (провайдера 2) необходимо изменить, отключив добавление маршрута по умолчанию в DHCP клиенте. Копируем (если DHCP) или создаём маршрут для провайдера 1.
Статический маршрут в MikroTik
Статический маршрут в MikroTik

Копируем (если DHCP) или создаём маршрут для провайдера 2. Важно указать параметр «distance» большим чем у провайдера 1.
Статический маршрут в MikroTik

Маршрут по умолчанию

Если маршрутизатор получает настройки сети от провайдеров по DHCP, то необходимо отключить добавление маршрута по умолчанию в DHCP клиенте для каждого провайдера.
Маршрут по умолчанию в MikroTik
Вот и всё! Можно проверять работу маршрутизатора.
В некоторых случаях может понадобиться перезагрузка маршрутизатора.

Ограничение доступа по графику

Теперь поговорим об ограничениях. Речь пойдёт о графике доступа к сети для детишек. В этом нам поможет Kid Control. Концепция очень проста. Для начала создаём правило (график) для каждого детёныша ). Здесь есть два блока с днями недели Пн.-Вс. Первый [5] отвечает за график доступа к сети без ограничений, второй [6] — за доступ с ограничением скорости [7]. Для каждого дня недели, устанавливается временной период, когда доступ к сети есть. Здесь формируем нужный нам график и сохраняем правило.
Kid Control в MikroTik

Теперь необходимо присвоить устройства пользователям. Их может быть несколько. Если устройства нет в списке, то его можно добавить вручную нажав [+].
Kid Control в MikroTik

Вот такими не сложными действиями можно обезопасить и ограничить Интернет для детей. Бесспорно, способов и ситуаций может быть масса, но это тот минимум, за которым обращаются чаще всего.
На этом всё! Читайте продолжения и всем добра!

MikroTik настройка для начинающих. Часть 4 — Интернет для детей в MikroTik : 3 комментария

Еще бы неплохо было бы сделать привязку по ARP, что бы Паша и Маша вручную себе другой IP не установили в обход DHCP.

Kid Control, сколько его не пробовал, сильно нагружает CPU, в итоге сделал все тоже самое на правилах брандмауэра.

Отлично! Честно сказать, не встречался с этой проблемой, но возможно по тому что использую достаточно мощные устройства.
Поделитесь рецептом? Думаю читателям будет интересно альтернативное решение. Вдруг у кого-то ещё такие особенности.

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Источник

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Настраиваем родительский контроль на роутерах Mikrotik

Настраиваем родительский контроль на роутерах Mikrotik

Сегодня интернет плотно проник во все сферы нашей жизни и превратился в столь же привычный и необходимый предмет, как электричество или водоснабжение. И это не преувеличение: работа, обучение, онлайн-сервисы — все это требует доступа в сеть, что не только открывает новые возможности, но порождает новые проблемы. Одна из них — защита детей от неподходящей для их возраста информации, а также контроль времени, проводимого ими в сети. При том, что решать данную задачу следует гибко, с учетом возраста и реальных потребностей детей, не ограничивая при этом возможности родителей.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор — официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Большинство статей в сети интернет рассматривают отдельные инструменты или методики родительского контроля, в то время как это сложный и многогранный вопрос, особенно если есть несколько детей разного возраста. Действительно, ограничения для ученика начальной школы и подростка могут и должны быть разными. Мы не сторонники жесткого закручивания гаек, стремление оградить ребенка от всего чего только возможно также плохо, как и бесконтрольный его доступ ко всем ресурсам сети. Во всем нужен разумный баланс.

Также не будем забывать об устройствах общего доступа. Это может быть семейный компьютер, доступ к которому имеют все члены семьи, при этом часть времени он остается бесконтрольным, когда родители еще на работе, а дети уже пришли со школы. В эту категорию также можно добавить умные телевизоры, игровые и телевизионные приставки и т.д. и т.п. Для этой категории устройств доступ должен быть выборочным, применяя ограничительные меры на те периоды времени, когда родителей нет дома.

В данной статье мы рассмотрим комплекс мер, который основан на собственном опыте и отражает наше видение политики гибкого родительского контроля, который будет реализован на базе RouterOS.

Распределение устройств по группам

В основе любых ограничительных мер лежат списки объектов, к которым данные меры применяются. И чем более гибкие политики мы хотим создать, тем более точным должно быть разделение на группы. Да, можно создать единственную группу — Дети, но вряд ли вы сумеете настроить ограничения таким образом, чтобы они подходили и ребенку 7-8 лет и 14-15 летнему подростку. Поэтому далее будем предполагать, что у нас есть условный младшеклассник Иван, подросток Маша и некоторое количество устройств общего пользования, такие как умный телевизор или компьютер в зале.

Каждый из детей имеет собственные устройства и все эти устройства нам нужно учесть и распределить по группам, здесь нам поможет резервирование DHCP.

Перейдем в раздел DHCP Server — Leases и зарезервируем за каждым устройством сетевые настройки. Для этого выбираем нужное устройство в списке, открываем его свойства и нажимаем Make Static.

После чего на закладке General станут доступны дополнительные настройки, нам нужно указать для каждого устройства свой список адресов. В нашем случае мы создадим свой список для каждого ребенка и еще один для устройств общего пользования. Внизу закладки найдите поле Address List и выберите нужный список, если он отсутствует, то просто укажите его название, он будет создан автоматически.

В итоге у вас должен получиться набор динамических списков, каждый из которых содержит адреса нужной группы устройств:

Не забывайте снабжать комментариями объекты, добавляемые в списки, это поможет сохранять удобочитаемость настроек и облегчит дальнейшее сопровождение.

Блокировка нежелательных ресурсов

Один из самых сложных и ответственных вопросов. Мы уже обсуждали вопрос блокировки на основе списков в наших статьях, но в данном случае это поможет мало. Одно дело — заблокировать наиболее популярные ресурсы-пожиратели времени в офисе и совсем иное — оградить детей от всего возможного объема нежелательной информации. Здесь нам на помощь придут специализированные DNS.

Первое, что приходит на ум, это Яндекс.DNS Семейный и аналогичные сервисы других DNS-провайдеров. Но, на наш взгляд, для детей младшего возраста такой фильтрации недостаточно, так как Яндекс Семейный фильтрует только явные материалы 18+, оставляя очень много неоднозначного контента за бортом.

Поэтому для наиболее полной фильтрации мы используем сервис SkyDNS, который представляет гораздо более специализированное коммерческое решение, тариф SkyDNS.Домашний обходится всего в 395 руб/год, что по силам любому семейному бюджету. Сервис имеет гибкие настройки и позволяет достаточно тонко управлять блокируемыми тематиками.

Мы будем использовать оба DNS-сервиса, Яндекс для более взрослых детей, которых уже не требуется ограждать от всего и вся и SkyDNS для младших, которым пока требуется более безопасная выдача.

Перенаправлять запросы клиентских устройств на нужные нам DNS можно сделать различными способами, мы будем использовать перехват пакетов на роутере, что позволит одновременно организовать защиту от ручного изменения настроек на клиенте. Для этого перейдем в IP — Firewall — NAT и добавим новое правило. Закладка General : Chain — dstnat, Protocol — udp, Dst.Port — 53.

На закладке Advanced в поле Src. Address List выбираем нужный нам список устройств.

И на закладке Action укажем действие: Action — dst-nat, To Addresses — 193.58.251.251, где в качестве адреса укажем IP-адрес нужного нам сервиса DNS, в данном случае приведен адрес SkyDNS.

Затем сделаем копию этого же правила для протокола tcp.

В консоли добавить правила можно командами:

Аналогичным образом добавляем перенаправление для других групп устройств к своим DNS-серверам. Отдельного разговора требует группа общих устройств, для них мы укажем дополнительное условие. Для этого перейдем на закладку Extra, развернем блок Time и в полях Time и Days укажем расписание, по которому будем применять ограничения. В указанное время все запросы будут идти к безопасным серверам, а в остальное — к основному DNS-серверу и фильтрация производиться не будет.

Это же действие в терминале:

В результате у вас должен получиться набор правил для каждой группы устройств, обратите внимание, что правило для группы общих устройств выделено красным и снабжено комментарием # inactive time, в данный момент указанные нами условия не выполняются и такое правило применено не будет.

При использовании общих устройств учитывайте такой момент, как локальный DNS-кеш и DNS-кеш браузера. Что может привести к тому, что блокировки не будут работать, несмотря на то что правило активно. Как правило, в большинстве случаев, достаточно перезапустить браузер, но это помогает не всегда. Поэтому имейте это ввиду при посещении ресурсов на общих устройствах.

Проверим работу фильтров в действии, начнем со SkyDNS, попробуем посетить сайт одного неоднозначного шоу:

Отлично, все работает. Кроме фильтрации сайтов данный сервис принудительно включает безопасный режим для Youtube и эффективно контролирует содержимое его роликов. Сравним выдачу по одному и тому же запросу через SkyDNS и обычный DNS-сервер:

Как видим, фильтр работает весьма эффективно, отсекая практически весь нежелательный контент, при этом возможность изменить параметры фильтров в браузере будут заблокированы, даже при наличии прав локального администратора. А что будет, если на нежелательный ролик кто-то пришлет ссылку? Ничего страшного:

Разблокировать такие ролики локально также невозможно. Дополнительно можно включить безопасный поиск, когда все поисковый запросы будут перенаправляться на Безопасный поиск SkyDNS.

В общем, за два года использования данный сервис подтвердил свою эффективность и гибкость в использовании, по мере взросления ребенка часть фильтров можно отключать, предоставляя ему больше свободы в сети, не отказываясь при этом от контроля по тематикам ресурсов.

Яндекс.DNS Семейный подобной гибкостью похвастаться не может, он фильтрует преимущественно ресурсы, явно относящиеся к категории 18+. Неоднозначное шоу имея более низкий возрастной рейтинг (16+) будет спокойно доступно к просмотру.

Тем не менее явные сайты категории «для взрослых» будут однозначно заблокированы.

На наш взгляд, сервисы Яндекса хорошо подходят для более старших детей и использования на устройствах общего пользования, возможно даже на постоянной основе. Вместе с категорией 18+ блокируются явно нежелательные сайты: фишинг, мошенничество, варез и т.д., что неплохо подходит и для остальных членов семьи, особенно технически малограмотных.

Кроме Семейного у Яндекса есть безопасный Безопасный режим, который блокирует большинство небезопасных сайтов, но пропускает сайты 18+, его можно использовать, например, для старших членов семьи, которые не обладают достаточными навыками безопасного поведения в интернете.

Ограничение времени доступа в интернет при помощи функции Kid Control

Ограничение времени пребывания в сети — вторая по актуальности задача родительского контроля. В актуальных версиях RouterOS для этой цели есть специальный инструмент. Для его настройки перейдем в IP — Kid Control и на вкладке Kids добавим записи для каждого ребенка и группы устройств общего пользования, если доступ нужно ограничивать и к ним. В открывшемся окне добавляем промежутки времени для каждого дня недели в которые будет разрешена работа, таких промежутков может быть несколько.

Затем к каждой записи ребенка нужно привязать устройства, принцип здесь аналогичен резервированию DHCP — точно также привязываем MAC-адрес. Для этого на закладке Devices создаем новую запись и указываем там нужный MAC, его можно скопировать из динамической записи, которая исчезнет после привязки устройства.

Таким образом получим еще один список, содержащие записи детей и расписание доступа в сеть для них, заблокированная запись обозначается в списке флагом B.

Блокировка устройств, связанных с записью, осуществляется при помощи динамически формируемых правил брандмауэра, которые запрещают прохождение транзитных пакетов от устройства и к нему.

Кроме блокировок мы можем задавать ограничение скорости интернета, для этого придется в первую очередь заполнить время доступа, если этого не сделать, то будет считаться, что работа пользователя запрещена, затем выше, в полях Unlimited Rate для каждого дня недели указываем промежутки, когда возможен доступ без ограничения скорости, таких промежутков может быть несколько. И наконец в самом низу, в поле Rate Limit указываем ограничение скорости, в нашем случае 1 Мбит/с.

При указании даты есть свои особенности, формат записи не поддерживает значение секунд отличное от нуля, поэтому для окончания суток вместо 23:59:59 используйте запись вида 1d 00:00:00.

Следующий момент — ограничение скорости не работает при включенном Fasttrack, отключение которого может привести к высокой нагрузке на процессор, поэтому для слабых роутеров такой вариант скорее всего будет неприменим. Да и скажем честно, ограничение скорости — нетипичный сценарий для домашнего использования.

Также мы неоднократно наблюдали высокую нагрузку на CPU просто при включении ограничения времени доступа, что может сделать применение Kid Control на слабых устройствах невозможным. Но это не является серьезной проблемой, ограничение по времени можно без особых проблем реализовать обычными правилами брандмауэра.

Ограничение времени доступа в интернет при помощи брандмауэра

По сути, Kid Control не делает ничего нового или уникального, он является всего лишь высокоуровневым интерфейсом для управления правилами брандмауэра и очередями. А значит все это можно сделать руками и в некоторых случаях это будет еще гораздо проще.

Есть два сценария реализации поставленной задачи: либо мы указываем диапазоны времени когда доступ клиента разрешен и запрещаем его в остальное время, либо запрещаем определенный временной промежуток и разрешаем вне его пределов.

Для начала рассмотрим первый вариант. Допустим мы хотим разрешить доступ с 10:00 до 23:00 вы выходные и с 17:00 до 23:00 в рабочие дни. Переходим в IP — Firewall — Filter и создаем новое правило. На закладке General указываем цепочку для транзитного трафика: Chain — forward.

На закладке Advanced в опции Src. Address List указываем список адресов устройств ребенка.

На закладке Extra в разделе Time выбираем нужные дни и указываем требуемый временной диапазон (ниже указано расписание для выходных дней).

После чего сохраняем правило. Затем делаем его копию и настраиваем расписание для рабочей недели. Если требуется задать несколько диапазонов, то создаем необходимое количество правил копированием, в каждом из которых меняем время действия правила на закладке Extra.

И завершаем наш набор правил запрещающим, для него мы заполняем закладки: General — указывая цепочку Chain — forward, Advanced — задав список адресов в Src. Address List и Action — reject.

В терминале это можно сделать командами:

Другой вариант предусматривает запрет только в определенный период времени, для этого мы создаем новое правило, как и в предыдущем примере заполняя закладки General, Advanced и Extra, после чего на закладке Action добавляем действие reject. Разрешающего правила в комплект с ним не нужно, так как политика по умолчанию разрешает все исходящие транзитные соединения.

В терминале выполните (для примера мы запретили доступ с 08:00 до 17:00):

Данные правила следует разместить в самом начале цепочки FORWARD (т.е. выше всех остальных правил), также не забывайте снабжать правила понятными комментариями. Неактивные правила также будут выделены красным цветом и комментарием # inactive time.

Подобные наборы правил фактически делают все тоже самое, что и Kid Control, но не создают при этом лишней нагрузки на устройство.

Как видим, роутеры Mikrotik предоставляют достаточно широкие возможности по родительскому контролю, которые, к тому же, можно настроить несколькими разными способами.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор — официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Дополнительные материалы:

Mikrotik

The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Источник