Товари
 
Виробники
 
Новини
 
Статті

Настройка родительского контроля на роутере MikroTik

28.08.2017

В этой статье мы расскажем, как с помощью роутера MikroTik закрыть детям доступ к порно сайтам, а также научим включать / отключать интернет по расписанию.​

Содержание:

  1. Блокировка порно сайтов с помощью DNS серверов
  2. Проверяем блокировку порно сайтов
  3. Защита от альтернативных DNS серверов
  4. Отключаем блокировку сайтов для родителей
  5. Добавление собственных запрещенных сайтов
  6. Включение и отключение интернета по времени

 

Блокировка порно сайтов с помощью DNS серверов

Чтобы закрыть доступ к порно сайтам проще всего использовать сторонние DNS серверы, которые самостоятельно мониторят сайты для взрослых и обновляют их базу.

Мы приведем пример с серверами Norton DNS.

Сервера с блокировкой вредоносных сайтов:
DNS1: 198.153.192.40
DNS2: 198.153.194.40

Сервера с блокировкой вредоносных сайтов и порно сайтов:
DNS1: 198.153.192.50
DNS2: 198.153.194.50

Сервера с блокировкой вредоносных сайтов, порно сайтов и файлообменников:
DNS1: 198.153.192.60
DNS2: 198.153.194.60

 

Нам подходит сервер с блокировкой вредоносных сайтов и порно сайтов, например, 198.153.192.50. Настроим роутер MikroTik на его использование:

  1. Откройте меню IP - DNS
  2. В поле Servers добавьте адрес 198.153.192.50
  3. Нажмите кнопку OK.

Блокировка порно сайтов в MikroTik

 

Проверяем блокировку порно сайтов

Чтобы проверить блокировку на компьютере с ОС Windows, сначала очистите кэш DNS. Для этого выполните следующее:

  1. Нажмите комбинацию клавиш Windows + R, наберите cmd и намжите OK, чтобы запустить терминал.
    Открываем терминал в Windows 7
     
  2. Также это можно сделать через меню Пуск - Найти программы файлы.
    Запуск терминала Windows 7 через меню Пуск
     
  3. В терминале выполните команду ipconfig /flushdns и нажмите Enter.
    Очистка кэша DNS в Windows

 

В конце выключите и включите сетевой интерфейс на компьютере, чтобы он получил новый адрес DNS сервера. Или можете просто перезагрузить компьютер.

Теперь в браузере наберите в поиске "порно" и попробуйте перейти по нескольким ссылкам. При переходе вы получите окно блокировки. Значит все работает.

Блокировка порно сайтов

 

Данный способ позволяет заблокировать большинство сайтов для взрослых, но не абсолютно все. Каждый день открывается огромное количество новых порно сайтов, и сотрудникам DNS сервисов нужно время, чтобы их найти и добавить в базу.

 

Защита от альтернативных DNS серверов

В настройках сетевой карты можно указать вручную альтернативный DNS сервер. Тогда запросы будут идти мимо необходимого нам DNS сервера, и блокировка работать не будет. Поэтому все DNS запросы необходимо завернуть на наш роутер. Для этого откройте меню New Terminal и выполните следующие команды:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect 
add chain=dstnat protocol=tcp dst-port=53 action=redirect 

 

Далее перейдите в меню IP - Firewall и на вкладке NAT переместите созданные правила вверх. Теперь все DNS запросы будут идти через наш роутер.

Защита от альтернативных DNS серверов в роутере MikroTik

 

Отключаем блокировку сайтов для родителей

Однажды у меня был телефонный разговор с клиентом:

  • "Здравствуйте, вы можете настроить блокировку порно сайтов на роутере MikroTik?"
  • "Да, могу".
  • "А блокировать порно будет всем пользователям?"
  • "Да, всем".
  • "Тогда не нужно".

Я учел пожелания таких клиентов, поэтому ниже пойдет речь о том, как сделать, чтобы у родителей был доступ к порно сайтам, а у детей - нет. Обязательное условие - у детей и родителей должны быть разные компьютеры или смартфоны.

Сначала нужно привязать MAC адреса всех домашних устройств к IP адресам. Для этого подключите все необходимые устройства к роутеру. Далее откройте меню IP - DHCP Server, перейдите на вкладку Leases, кликните правой кнопкой мыши на каждом устройстве и выберите Make Static.

Привязка MAC адресов к IP адресам в роутере MikroTik

 

Теперь составим два списка с IP-адресами:

  • Parents-List - список IP-адресов устройств родителей
  • Kids-List - список IP-адресов устройств детей


Списки добавляются в меню IP - Firewall - Address Lists. Проще всего это сделать командами ниже. Не забудьте поменять IP адреса на соответствующие вашим устройствам.

/ip firewall address-list add list=Parents-List address=192.168.88.254
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251

 

Далее создадим правила, по которым устройства из родительского списка Parents-List будут использовать DNS сервер без блокировки Google 8.8.8.8, а устройства из детского списка будут использовать сервер Norton DNS 198.153.192.50 с блокировкой вредоносных и порно сайтов.

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Parents-List action=dst-nat to-addresses=8.8.8.8
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=198.153.192.50
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 src-address-list=Kids-List action=dst-nat to-addresses=198.153.192.50

 

Перейдите в меню IP - Firewall и на вкладке NAT переместите созданные правила в самый вверх.

Перемещение правил NAT

 

После этого переподключите устройства к роутеру MikroTik и проверяйте работу.

 

Добавление собственных запрещенных сайтов

Если вы желаете добавлять свои запрещенные сайты, то рекомендую использовать сервис OpenDNS. Он позволяет настроить категории сайтов, которые нужно блокировать, а также добавлять свои запрещенные и разрешенные сайты.

Перейдите на сайт https://signup.opendns.com/homefree/ и зарегистрируйте новый бесплатный аккаунт.

Регистрация на сайте OpenDNS

 

В следующем окне появятся адреса DNS серверов 208.67.222.222 и 208.67.220.220, которые нужно будет указать в настройках роутера.

Настройки серверов OpenDNS

 

Далее откройте свой email, подтвердите регистрацию и залогинтесь на сайте.

Перейдите в "Dashboard - Settings". Здесь автоматически определится ваш IP адрес. Нажмите кнопку "ADD THIS NETWORK".

Добавляем свою сеть в OpenDNS

 

В появившемся окне укажите название сети, и поставьте галочку "Yes, it is dynamic", если роутер получает IP адрес от провайдера динамически (автоматически) по DHCP.

Указываем название своей сети в OpenDNS

 

Далее кликните на IP-адрес созданной сети, чтобы открыть настройки.

Переходим в настройки своей сети в OpenDNS

 

Выберите режим "Custom". Укажите галочками сайты из каких категорий должны блокироваться, и нажмите кнопку "Apply".

Ниже в "Manage Individual Domain" можно добавить свои сайты, которые нужно блокировать (Always block), или добавить в исключения и не блокировать (Never block).

Выбор категорий для блокировки в OpenDNS

 

Теперь осталось в роутере MikroTik указать адреса OpenDNS серверов 208.67.222.222 или 208.67.220.220.

  1. Откройте меню IP - DNS
  2. В поле Servers добавьте адрес 208.67.222.222
  3. Нажмите кнопку OK.

Добавление серверов OpenDNS в роутер MikroTik

 

На компьютере очищаем кэш DNS, отключаем и включаем сетевое подключение. Далее пробуем открыть порно сайт и получаем окно блокировки. Все работает.

Блокировка порно сайтов на роутере MikroTik через сервис OpenDNS

 

Включение и отключение интернета по времени

Родители часто жалуются, что их дети по ночам сидят в интернете, хотя должны спать. Также кто-то хочет, чтобы ребенок после прихода со школы, сначала выучил уроки, а не сидел в интернете.

В качестве примера рассмотрим следующую задачу: наш ребенок приходит со школы в 15:00. Мы хотим, чтобы он до 17:00 выучил уроки. В это время интернет должен быть отключен. В 17:00 включаем интернет. В 22:00 выключаем интернет, когда нужно идти спать. С утра тоже включим интернет с 6:00 до 9:00. Данные правила должны работать только в будние дни. На выходных доступ к интернету должен быть круглосуточно.

Итого:

  • 6:00 - включаем интернет
  • 9:00 - выключаем интернет
  • 17:00 - включаем интернет
  • 22:00 - выключаем интернет

Для реализации задуманного нам потребуется использовать в роутере MikroTik скрипт и планировщик.

Сначала нужно привязать MAC адреса всех домашних устройств к IP адресам, и составить два списка с IP-адресами родительских устройств и устройств детей. Если вы это уже делали выше, то пропустите этот шаг.

Чтобы привязать MAC адреса, подключите все необходимые устройства к роутеру. Откройте меню IP - DHCP Server, перейдите на вкладку Leases, кликните правой кнопкой мыши на каждом устройстве и выберите Make Static.

Привязываем MAC адреса к IP адресам в роутере MikroTik

 

Теперь составим два списка с IP-адресами:

  • Parents-List - список IP-адресов устройств родителей
  • Kids-List - список IP-адресов устройств детей


Списки добавляются в меню IP - Firewall на вкладке Address Lists. Проще всего это сделать командами ниже. Не забудьте поменять IP адреса на соответствующие вашим устройствам.

/ip firewall address-list add list=Parents-List address=192.168.88.254
/ip firewall address-list add list=Parents-List address=192.168.88.253
/ip firewall address-list add list=Kids-List address=192.168.88.252
/ip firewall address-list add list=Kids-List address=192.168.88.251

 

Добавляем правила NAT для разрешения доступа к интернету каждому списку IP адресов.

/ip firewall nat add chain=srcnat out-interface=ether1 src-address-list=Parents-List action=masquerade comment=Internet-For-Parents
/ip firewall nat add chain=srcnat out-interface=ether1 src-address-list=Kids-List action=masquerade comment=Internet-For-Kids

 

Старое правило NAT можно деактивировать, чтобы если к сети подключится незнакомое устройство, то у него не было интернета. Но если придут гости, включите его, чтобы у них появился интернет.

  1. Откройте меню IP - Firewall и перейдите на вкладку NAT.
  2. Нажмите левой кнопкой мыши на правило с комментарием "defconf: masquerade" и перетащите ниже созданных правил.
  3. Нажмите "красный крестик", чтобы деактивировать правило.

 

Деактивируем NAT правило по умолчанию в роутере MikroTik

 

Проверьте, что на роутере правильно установлена дата и время в меню System - Clock.

Проверяем настройки даты и времени в роутере MikroTik

 

Ниже указан скрипт включения / отключения интернета по расписанию. Отредактируйте в нем время, необходимое вам. Если вы использовали другой текст комментариев в правилах NAT, то измените параметр NatComment.

####################################
## Script to On / Off internet access for kids
####################################

:log warning "KidsInternetOnOff Script started.";

################################
## Set the internet ON and OFF times here

:local InternetOnTime "6:00";
:local InternetOffTime "9:00";

:local InternetOnTime2 "17:00";
:local InternetOffTime2 "22:00";

:local NatComment "Internet-For-Kids";

##
#################################

#################################
## Get Current Day Of Week

:local date [/system clock get date]

# Math Calculation here
:local result ""
:local months [:toarray "jan,feb,mar,apr,may,jun,jul,aug,sep,oct,nov,dec"]
:local daytbl [:toarray "sun,mon,tue,wed,thu,fri,sat"]

:local month [:pick $date 0 3]
:local day [:pick $date 4 6]
:local dayc [:pick $date 5 6]
:local year [:pick $date 7 11]

# if the first char is a 0 (zero) only read last char, else script fails
:if ([:pick $date 4 5] = 0) do={ :set day ($dayc)}

:local sum 0
:local aaa 0
:local yyy 0
:local mmm 0
:local nmonth 1

:for mindex from=0 to=[:len $months] do={
:if ([:pick $months $mindex] = $month) do={:set nmonth ($mindex + 1) }
}

:set aaa ((14 - $nmonth) / 12)
:set yyy ($year - $aaa)
:set mmm ($nmonth + 12 * $aaa - 2)
:set sum (7000 + $day + $yyy + ($yyy / 4) - ($yyy / 100) + ($yyy / 400) + ((31 * $mmm) / 12))
:set sum ($sum - (($sum / 7) * 7))
:set result [:pick $daytbl $sum]
:log info "Today is $result."

##
##################################

##################################
## Get Current Time and NAT Status

:local CurrentTime [/system clock get time];

## Setup log prefix
:local LogPrefix "KidsInternet $CurrentTime";

## Check current ON or OFF status of Kids NAT#
:local InternetDisabled [/ip firewall nat get [find comment=$NatComment] disabled];
:log info "$LogPrefix Disabled = $InternetDisabled";

##
##################################

##################################
## Check Time If It Is Workday

:local workday [:toarray "mon,tue,wed,thu,fri"]
:if ($workday ~ $result) do={
:log info "Today is Workday.";

## Where the ON time is set earlier than the OFF time #
:if (($InternetOnTime < $InternetOffTime) || ($InternetOnTime2 < $InternetOffTime2)) do {
## Internet should be ON between these times #
:if ((($CurrentTime > $InternetOnTime) and ($CurrentTime < $InternetOffTime)) || (($CurrentTime > $InternetOnTime2) and ($CurrentTime < $InternetOffTime2))) do {
if ($InternetDisabled=true) do {
:log warning "$LogPrefix was OFF, now switching ON.";
/ip firewall nat enable [find comment=$NatComment];
}
} else {
if ($InternetDisabled=false) do {
:log warning "$LogPrefix was ON, now switching OFF.";
/ip firewall nat disable [find comment=$NatComment];
}
}
}

##################################
## Kids Internet ON If It Is NOT Workday

} else={
:log info "Today is NOT Workday."
if ($InternetDisabled=true) do {
:log warning "$LogPrefix was OFF, now switching ON.";
/ip firewall nat enable [find comment=$NatComment];
}
}
##
##################################

:log warning "KidsInternetOnOff Script completed.";

 

Добавим скрипт в MikroTik.

  1. Откройте меню System - Scripts.
  2. На вкладке Scripts нажмите "синий плюсик".
  3. В поле Name укажите название скрипта KidsInternetOnOff.
  4. Ниже в поле Source вставьте текст скрипта.
  5. Нажмите кнопку OK.

Добавляем скрипт включения / отключения интернета по времени в роутере MikroTik

 

Проверим работу скрипта.

  1. Откройте меню IP - Firewall и перейтите на вкладку NAT, чтобы отслеживать активацию/деактивацию правила NAT с комментарием "Internet-For-Kids".
  2. Откройте меню Log, чтобы отслеживать выполнение скрипта.
  3. В меню System - Scripts выберите добавленный скрипт и нажмите кнопку Run Script.
    После этого вы увидите в логах процесс выполнения скрипта и сможете отслеживать активацию/деактивацию правила NAT.

Проверяем включение / отключение интернета по времени в роутере MikroTik

 

Теперь добавим в планировщик выполнение данного скрипта каждую минуту.

  1. Откройте меню System - Sheduler.
  2. Нажмите "синий плюсик", чтобы добавить задание.
  3. В поле Name укажите название KidsInternetOnOff.
  4. В поле Start Time укажите время 00:00:00
  5. В поле Interval укажите 00:01:00.
  6. В поле On Event укажите команду /system script run KidsInternetOnOff, которая будет запускать скрипт с названием KidsInternetOnOff.
  7. Нажмите кнопку OK.
Добавляем в планировщик выполнение скрипта включения / отключения интернета по расписанию

 

После этого в меню Log вы увидите, как каждую минуту выполняется скрипт.

Если вы не хотите, чтобы информационные сообщения выводились в лог и забивали его, откройте текст скрипта и поставьте символ решетки # перед командами, которые начинаются на ":log". Оставьте не закомментированными строки :log warning "$LogPrefix was OFF, now switching ON."; и :log warning "$LogPrefix was ON, now switching OFF."; , чтобы отслеживать время включения / отключения интернета.

Вывод в лог работы скрипта включения / отключения интернета по расписанию в роутере MikroTik

 

Друкована версія Поділіться статтею:
  • Звичайна форма
  • Facebook

Відгуки про статтю

  Оцінка: 5, Голосів: 18, Коментарів: 54
Linksadios 29.08.2017 09:09:46
Я делал немного по другому подсесть разделил 192.168.1.0/26 для всех и 192.168.1.64/27 гостевая или для детей с другими DNS. Два пула для них и привязка устройства ребенка чтобы адрес с нужного пула выдавал и нужный DNS присваивался
shsw 29.08.2017 00:56:40
С OpenDNS интересно получается с указанием подсети. Как я понимаю с внешнего адреса микротика приходит запрос и в зависимости от правил - ответ. тогда получается эти правила будут дйствовать для всей подсети. Потому как для хоум юзеров в основном динамические адреса. И кто-то из соседей получит мой адрес через время и всё, будут потом звонить провайдеру и спрашивать какого не работает кусок интернета? Или нет?
Техпідтримка 29.08.2017 09:57:01
Нет
Сторінки: 1, 2, 3, 4

Залишити коментар
Ваше ім’я: *
Ваша пошта:  

Коментар: *
Оцiнка:  
Введіть символи: *
Поновити
 
Магазин
Техпідтримка
Наші партнери
   
© 2003–2024 «Компанія ТехноТрейд»
інтернет-магазин мережевого обладнання
×
×
Валюта: