Товари
 
Виробники
 
Новини
 
Статті

Настройка родительского контроля на роутере MikroTik

28.08.2017

В этой статье мы расскажем, как с помощью роутера MikroTik закрыть детям доступ к порно сайтам, а также научим включать / отключать интернет по расписанию.​

Содержание:

  1. Блокировка порно сайтов с помощью DNS серверов
  2. Проверяем блокировку порно сайтов
  3. Защита от альтернативных DNS серверов
  4. Отключаем блокировку сайтов для родителей
  5. Добавление собственных запрещенных сайтов
  6. Включение и отключение интернета по времени

 

Блокировка порно сайтов с помощью DNS серверов

Чтобы закрыть доступ к порно сайтам проще всего использовать сторонние DNS серверы, которые самостоятельно мониторят сайты для взрослых и обновляют их базу.

Мы приведем пример с серверами Norton DNS.

Сервера с блокировкой вредоносных сайтов:
DNS1: 198.153.192.40
DNS2: 198.153.194.40

Сервера с блокировкой вредоносных сайтов и порно сайтов:
DNS1: 198.153.192.50
DNS2: 198.153.194.50

Сервера с блокировкой вредоносных сайтов, порно сайтов и файлообменников:
DNS1: 198.153.192.60
DNS2: 198.153.194.60

 

Нам подходит сервер с блокировкой вредоносных сайтов и порно сайтов, например, 198.153.192.50. Настроим роутер MikroTik на его использование:

  1. Откройте меню IP - DNS
  2. В поле Servers добавьте адрес 198.153.192.50
  3. Нажмите кнопку OK.

Блокировка порно сайтов в MikroTik

 

Проверяем блокировку порно сайтов

Чтобы проверить блокировку на компьютере с ОС Windows, сначала очистите кэш DNS. Для этого выполните следующее:

  1. Нажмите комбинацию клавиш Windows + R, наберите cmd и намжите OK, чтобы запустить терминал.
    Открываем терминал в Windows 7
     
  2. Также это можно сделать через меню Пуск - Найти программы файлы.
    Запуск терминала Windows 7 через меню Пуск
     
  3. В терминале выполните команду ipconfig /flushdns и нажмите Enter.
    Очистка кэша DNS в Windows

 

В конце выключите и включите сетевой интерфейс на компьютере, чтобы он получил новый адрес DNS сервера. Или можете просто перезагрузить компьютер.

Теперь в браузере наберите в поиске "порно" и попробуйте перейти по нескольким ссылкам. При переходе вы получите окно блокировки. Значит все работает.

Блокировка порно сайтов

 

Данный способ позволяет заблокировать большинство сайтов для взрослых, но не абсолютно все. Каждый день открывается огромное количество новых порно сайтов, и сотрудникам DNS сервисов нужно время, чтобы их найти и добавить в базу.

 

Защита от альтернативных DNS серверов

В настройках сетевой карты можно указать вручную альтернативный DNS сервер. Тогда запросы будут идти мимо необходимого нам DNS сервера, и блокировка работать не будет. Поэтому все DNS запросы необходимо завернуть на наш роутер. Для этого откройте меню New Terminal и выполните следующие команды:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect 
add chain=dstnat protocol=tcp dst-port=53 action=redirect 

 

Далее перейдите в меню IP - Firewall и на вкладке NAT переместите созданные правила вверх. Теперь все DNS запросы будут идти через наш роутер.

Защита от альтернативных DNS серверов в роутере MikroTik

 

Отключаем блокировку сайтов для родителей

Однажды у меня был телефонный разговор с клиентом:

  • "Здравствуйте, вы можете настроить блокировку порно сайтов на роутере MikroTik?"
  • "Да, могу".
  • "А блокировать порно будет всем пользователям?"
  • "Да, всем".
  • "Тогда не нужно".

Я учел пожелания таких клиентов, поэтому ниже пойдет речь о том, как сделать, чтобы у родителей был доступ к порно сайтам, а у детей - нет. Обязательное условие - у детей и родителей должны быть разные компьютеры или смартфоны.

Сначала нужно привязать MAC адреса всех домашних устройств к IP адресам. Для этого подключите все необходимые устройства к роутеру. Далее откройте меню IP - DHCP Server, перейдите на вкладку Leases, кликните правой кнопкой мыши на каждом устройстве и выберите Make Static.

Привязка MAC адресов к IP адресам в роутере MikroTik

 

Теперь составим два списка с IP-адресами:

  • Parents-List - список IP-адресов устройств родителей
  • Kids-List - список IP-адресов устройств детей


Списки добавляются в меню IP - Firewall - Address Lists. Проще всего это сделать командами ниже. Не забудьте поменять IP адреса на соответствующие вашим устройствам.

/ip firewall address-list add list=Parents-List address=192.168.88.254
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251

 

Далее создадим правила, по которым устройства из родительского списка Parents-List будут использовать DNS сервер без блокировки Google 8.8.8.8, а устройства из детского списка будут использовать сервер Norton DNS 198.153.192.50 с блокировкой вредоносных и порно сайтов.

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=198.153.192.50
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=198.153.192.50

 

Перейдите в меню IP - Firewall и на вкладке NAT переместите созданные правила в самый вверх.

Перемещение правил NAT

 

После этого переподключите устройства к роутеру MikroTik и проверяйте работу.

 

Добавление собственных запрещенных сайтов

Если вы желаете добавлять свои запрещенные сайты, то рекомендую использовать сервис OpenDNS. Он позволяет настроить категории сайтов, которые нужно блокировать, а также добавлять свои запрещенные и разрешенные сайты.

Перейдите на сайт https://signup.opendns.com/homefree/ и зарегистрируйте новый бесплатный аккаунт.

Регистрация на сайте OpenDNS

 

В следующем окне появятся адреса DNS серверов 208.67.222.222 и 208.67.220.220, которые нужно будет указать в настройках роутера.

Настройки серверов OpenDNS

 

Далее откройте свой email, подтвердите регистрацию и залогинтесь на сайте.

Перейдите в "Dashboard - Settings". Здесь автоматически определится ваш IP адрес. Нажмите кнопку "ADD THIS NETWORK".

Добавляем свою сеть в OpenDNS

 

В появившемся окне укажите название сети, и поставьте галочку "Yes, it is dynamic", если роутер получает IP адрес от провайдера динамически (автоматически) по DHCP.

Указываем название своей сети в OpenDNS

 

Далее кликните на IP-адрес созданной сети, чтобы открыть настройки.

Переходим в настройки своей сети в OpenDNS

 

Выберите режим "Custom". Укажите галочками сайты из каких категорий должны блокироваться, и нажмите кнопку "Apply".

Ниже в "Manage Individual Domain" можно добавить свои сайты, которые нужно блокировать (Always block), или добавить в исключения и не блокировать (Never block).

Выбор категорий для блокировки в OpenDNS

 

Теперь осталось в роутере MikroTik указать адреса OpenDNS серверов 208.67.222.222 или 208.67.220.220.

  1. Откройте меню IP - DNS
  2. В поле Servers добавьте адрес 208.67.222.222
  3. Нажмите кнопку OK.

Добавление серверов OpenDNS в роутер MikroTik

 

На компьютере очищаем кэш DNS, отключаем и включаем сетевое подключение. Далее пробуем открыть порно сайт и получаем окно блокировки. Все работает.

Блокировка порно сайтов на роутере MikroTik через сервис OpenDNS

 

Включение и отключение интернета по времени

Родители часто жалуются, что их дети по ночам сидят в интернете, хотя должны спать. Также кто-то хочет, чтобы ребенок после прихода со школы, сначала выучил уроки, а не сидел в интернете.

В качестве примера рассмотрим следующую задачу: наш ребенок приходит со школы в 15:00. Мы хотим, чтобы он до 17:00 выучил уроки. В это время интернет должен быть отключен. В 17:00 включаем интернет. В 22:00 выключаем интернет, когда нужно идти спать. С утра тоже включим интернет с 6:00 до 9:00. Данные правила должны работать только в будние дни. На выходных доступ к интернету должен быть круглосуточно.

Итого:

  • 6:00 - включаем интернет
  • 9:00 - выключаем интернет
  • 17:00 - включаем интернет
  • 22:00 - выключаем интернет

Для реализации задуманного нам потребуется использовать в роутере MikroTik скрипт и планировщик.

Сначала нужно привязать MAC адреса всех домашних устройств к IP адресам, и составить два списка с IP-адресами родительских устройств и устройств детей. Если вы это уже делали выше, то пропустите этот шаг.

Чтобы привязать MAC адреса, подключите все необходимые устройства к роутеру. Откройте меню IP - DHCP Server, перейдите на вкладку Leases, кликните правой кнопкой мыши на каждом устройстве и выберите Make Static.

Привязываем MAC адреса к IP адресам в роутере MikroTik

 

Теперь составим два списка с IP-адресами:

  • Parents-List - список IP-адресов устройств родителей
  • Kids-List - список IP-адресов устройств детей


Списки добавляются в меню IP - Firewall на вкладке Address Lists. Проще всего это сделать командами ниже. Не забудьте поменять IP адреса на соответствующие вашим устройствам.

/ip firewall address-list add list=Parents-List address=192.168.88.254
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251

 

Добавляем правила NAT для разрешения доступа к интернету каждому списку IP адресов.

/ip firewall nat add chain=srcnat out-interface=ether1 src-address-list=Parents-List action=masquerade comment=Internet-For-Parents
/ip firewall nat add chain=srcnat out-interface=ether1 src-address-list=Kids-List action=masquerade comment=Internet-For-Kids

 

Старое правило NAT можно деактивировать, чтобы если к сети подключится незнакомое устройство, то у него не было интернета. Но если придут гости, включите его, чтобы у них появился интернет.

  1. Откройте меню IP - Firewall и перейдите на вкладку NAT.
  2. Нажмите левой кнопкой мыши на правило с комментарием "defconf: masquerade" и перетащите ниже созданных правил.
  3. Нажмите "красный крестик", чтобы деактивировать правило.

 

Деактивируем NAT правило по умолчанию в роутере MikroTik

 

Проверьте, что на роутере правильно установлена дата и время в меню System - Clock.

Проверяем настройки даты и времени в роутере MikroTik

 

Ниже указан скрипт включения / отключения интернета по расписанию. Отредактируйте в нем время, необходимое вам. Если вы использовали другой текст комментариев в правилах NAT, то измените параметр NatComment.

####################################
## Script to On / Off internet access for kids
####################################

:log warning "KidsInternetOnOff Script started.";

################################
## Set the internet ON and OFF times here

:local InternetOnTime "6:00";
:local InternetOffTime "9:00";

:local InternetOnTime2 "17:00";
:local InternetOffTime2 "22:00";

:local NatComment "Internet-For-Kids";

##
#################################

#################################
## Get Current Day Of Week

:local date [/system clock get date]

# Math Calculation here
:local result ""
:local months [:toarray "jan,feb,mar,apr,may,jun,jul,aug,sep,oct,nov,dec"]
:local daytbl [:toarray "sun,mon,tue,wed,thu,fri,sat"]

:local month [:pick $date 0 3]
:local day [:pick $date 4 6]
:local dayc [:pick $date 5 6]
:local year [:pick $date 7 11]

# if the first char is a 0 (zero) only read last char, else script fails
:if ([:pick $date 4 5] = 0) do={ :set day ($dayc)}

:local sum 0
:local aaa 0
:local yyy 0
:local mmm 0
:local nmonth 1

:for mindex from=0 to=[:len $months] do={
:if ([:pick $months $mindex] = $month) do={:set nmonth ($mindex + 1) }
}

:set aaa ((14 - $nmonth) / 12)
:set yyy ($year - $aaa)
:set mmm ($nmonth + 12 * $aaa - 2)
:set sum (7000 + $day + $yyy + ($yyy / 4) - ($yyy / 100) + ($yyy / 400) + ((31 * $mmm) / 12))
:set sum ($sum - (($sum / 7) * 7))
:set result [:pick $daytbl $sum]
:log info "Today is $result."

##
##################################

##################################
## Get Current Time and NAT Status

:local CurrentTime [/system clock get time];

## Setup log prefix
:local LogPrefix "KidsInternet $CurrentTime";

## Check current ON or OFF status of Kids NAT#
:local InternetDisabled [/ip firewall nat get [find comment=$NatComment] disabled];
:log info "$LogPrefix Disabled = $InternetDisabled";

##
##################################

##################################
## Check Time If It Is Workday

:local workday [:toarray "mon,tue,wed,thu,fri"]
:if ($workday ~ $result) do={
:log info "Today is Workday.";

## Where the ON time is set earlier than the OFF time #
:if (($InternetOnTime < $InternetOffTime) || ($InternetOnTime2 < $InternetOffTime2)) do {
## Internet should be ON between these times #
:if ((($CurrentTime > $InternetOnTime) and ($CurrentTime < $InternetOffTime)) || (($CurrentTime > $InternetOnTime2) and ($CurrentTime < $InternetOffTime2))) do {
if ($InternetDisabled=true) do {
:log warning "$LogPrefix was OFF, now switching ON.";
/ip firewall nat enable [find comment=$NatComment];
}
} else {
if ($InternetDisabled=false) do {
:log warning "$LogPrefix was ON, now switching OFF.";
/ip firewall nat disable [find comment=$NatComment];
}
}
}

##################################
## Kids Internet ON If It Is NOT Workday

} else={
:log info "Today is NOT Workday."
if ($InternetDisabled=true) do {
:log warning "$LogPrefix was OFF, now switching ON.";
/ip firewall nat enable [find comment=$NatComment];
}
}
##
##################################

:log warning "KidsInternetOnOff Script completed.";

 

Добавим скрипт в MikroTik.

  1. Откройте меню System - Scripts.
  2. На вкладке Scripts нажмите "синий плюсик".
  3. В поле Name укажите название скрипта KidsInternetOnOff.
  4. Ниже в поле Source вставьте текст скрипта.
  5. Нажмите кнопку OK.

Добавляем скрипт включения / отключения интернета по времени в роутере MikroTik

 

Проверим работу скрипта.

  1. Откройте меню IP - Firewall и перейтите на вкладку NAT, чтобы отслеживать активацию/деактивацию правила NAT с комментарием "Internet-For-Kids".
  2. Откройте меню Log, чтобы отслеживать выполнение скрипта.
  3. В меню System - Scripts выберите добавленный скрипт и нажмите кнопку Run Script.
    После этого вы увидите в логах процесс выполнения скрипта и сможете отслеживать активацию/деактивацию правила NAT.

Проверяем включение / отключение интернета по времени в роутере MikroTik

 

Теперь добавим в планировщик выполнение данного скрипта каждую минуту.

  1. Откройте меню System - Sheduler.
  2. Нажмите "синий плюсик", чтобы добавить задание.
  3. В поле Name укажите название KidsInternetOnOff.
  4. В поле Start Time укажите время 00:00:00
  5. В поле Interval укажите 00:01:00.
  6. В поле On Event укажите команду /system script run KidsInternetOnOff, которая будет запускать скрипт с названием KidsInternetOnOff.
  7. Нажмите кнопку OK.
Добавляем в планировщик выполнение скрипта включения / отключения интернета по расписанию

 

После этого в меню Log вы увидите, как каждую минуту выполняется скрипт.

Если вы не хотите, чтобы информационные сообщения выводились в лог и забивали его, откройте текст скрипта и поставьте символ решетки # перед командами, которые начинаются на ":log". Оставьте не закомментированными строки :log warning "$LogPrefix was OFF, now switching ON."; и :log warning "$LogPrefix was ON, now switching OFF."; , чтобы отслеживать время включения / отключения интернета.

Вывод в лог работы скрипта включения / отключения интернета по расписанию в роутере MikroTik

 

Друкована версія Поділіться статтею:
  • Звичайна форма
  • Facebook

Відгуки про статтю

  Оцінка: 5, Голосів: 18, Коментарів: 54
Сергей Хоменко 13.10.2018 06:17:51
Есть проблемка. При срабатывании правила, viber например будет работать, т.к. его соединения уже созданы, а правило походу только на новые соединения. Я вышел из положения добавив после отключения NAt /ip firewall connection remove [find]. Это конечно не совсем верно, т.к. рвет все соединения, а не только детские, но зато работает.
Madim 20.09.2018 10:59:52
Что мне нужно установить для управления роутером? Могу ли я настроить пароль для входа в эту программу?
Техпідтримка 20.09.2018 16:23:01
Нужна программа Winbox. Пароль ставится на вход в настройки роутера.
Дмитрий 11.07.2018 07:15:37
Отличная статья, только проще сделать 2 сети одна для детей, вторая для родителей. Но никак не решает вопрос TOR-браузера и VPN. а детишки нынче умные попадаются.
Андрей 11.07.2018 10:25:15
Такие детишки могут родителям отключить интернет ))
Oleg 21.05.2018 11:37:34
Странно, не срабатывает правило.
Провайдер выдаёт статику.
Андрей 28.04.2018 07:57:18
Здравствуйте!
Большое спасибо, очень хорошая и нужная статья! Но подскажите пожалуйста, что нужно изменить в скрипте KidsInternetOnOff для ежедневного его запуска, то есть для того чтобы он выполнял выключение и включение во все дни недели без исключения.
Заранее благодарю
Александр 27.03.2018 07:29:56
Добрый день!
Спасибо за статью. Все работает.
Подскажите, если в броузере включается VPN сервис. Как в данном случае быть?
Поскольку все настроенные правила DNS фильтрации попросту не "видят" запрещенного трафика(((
Дима 27.03.2018 12:01:20
Вычислять IP адреса VPN серверов и блокировать их.
Александр 03.05.2018 12:42:13
Создавайте правила, которые блокируют порты/протоколы необходимые для работы того или иного вида VPN, разрешая только конкретные случаи необходимые вам - это пожалуй единственный разумный вариант, если не использовать DPI. Разумно наложить ограничение и на исходящий трафик из внутреней сети (блокировать все, что не разрешено).
игорь 19.02.2018 23:12:15
Все сделал, как написано про opendns, но при каждой перезагрузке роутера меняеется мой ip и, соответственно, блокировка пропадает. Что я неправильно делаю?
Техпідтримка 20.02.2018 10:06:06
Если у вас постоянно меняется IP адрес, тогда нужно на сайте зайти в настройки сети в меню "Advanced Settings", поставить галочку "Enable dynamic IP update" и нажать кнопку "Apply".
Еще нужно с их сайта скачать и установить на компьютер программу IP Updater, которая будет обновлять IP адрес.
Игорь 20.02.2018 11:59:15
Там галочка стоит. IP адрес меняется в роутере при каждой перезагрузке. Покупать постоянный IP дорого. Сайт OpenDNS не может меня идентифицировать по IP после перезагрузки. К роутеру у меня подключена ТВприставка, телек и Wi-Fi. Через Norton DNS все получается. Но из 10 ссылок одна-две открываются, остальные блокируются. Но в Norton нельзя добавить адреса. Нельзя ли как-то по ключевому слову в самом роутере запретить доступ к определенным сайтам?
Техпідтримка 21.02.2018 13:28:17
Какая модель роутера?
Игорь 23.02.2018 15:05:51
MikroTik hAP ac lite tower
Техпідтримка 23.02.2018 17:27:47
Скрипт для роутера MikroTik для обновления динамического IP адреса на сервисе OpenDNS
https://support.opendns.com/hc/en-us/articles/227987847-Mikrotik-WinBox-Dynamic-Update-Sc ript
Наташа 03.10.2017 16:16:19
Добрый день, а возможно ли настроить блокировку по загружаемым файлам, чтобы например *.exe нельзя было загружать?
zerg 03.10.2017 18:33:16
Можно через Layer7 https://habrahabr.ru/post/321408/
или через proxy http://podarok66.livejournal.com/2357.html
Но это будет работать только для http трафика. Проблема в том, что сейчас много сайтов шифруют трафик по https, поэтому для них это работать не будет.
Нужно еще на компьютере запрещать запуск всех программ, кроме разрешенных. http://profhelp.com.ua/articles/windows-7-как-запретить-запуск-программ
NikNikols 31.08.2017 11:28:11
Статья понравилась. Единственный вопрос - зачем запускать скрипт каждую минуту? Не будет ли это создавать дополнительную нагрузку на роутер?
Техпідтримка 31.08.2017 12:12:10
Нагрузку создавать не будет.
Интервал сделан в 1 минуту, чтобы можно было ставить время с точностью до минуты.
В принципе можно запускать скрипт каждый час, если вы включаете / выключаете интернет ровно в какие-то часы. Но тогда можно попасть в следующую ситуацию. Допустим интернет должен включиться в 17:00. В 16:45 выключается электричество. В 17:00 электричества нет, поэтому интернет не включился. В 17:10 электричество включили, но скрипт не выполнится, поскольку он должен выполнятся по расписанию каждый час. Следовательно, вы будете сидеть 50 минут без интернета, пока не наступит следующий час. Тогда нужно добавить еще одну задачу в планировщик, чтобы он выполнял скрипт при загрузке роутера.
Сторінки: 1, 2, 3, 4

Залишити коментар
Ваше ім’я: *
Ваша пошта:  

Коментар: *
Оцiнка:  
Введіть символи: *
Поновити
 
Магазин
Техпідтримка
Наші партнери
   
© 2003–2024 «Компанія ТехноТрейд»
інтернет-магазин мережевого обладнання
×
×
Валюта: