routeros 里该怎么禁止某些域名访问呢

2023-02-15 10:08:11 +08:00
 linuxgo
家里买的长虹电视真是把我整疯了,每次开机都提示固件升级(一旦升级就没法安装三方软件),也没有地方可以关掉升级。想在 routeros 中过滤掉升级检查,但是在网上搜了一遍,都没找到什么有效的方法
我现在是在 firewall 里添加了一个地址列表,然后在 filter 里添加规则,但是没什么鸟用,问问大家究竟要怎么做呢?

我的规则是
chain=input action=drop dst-address-list=blockweb
3122 次点击
所在节点    宽带症候群
41 条回复
mrzx
2023-02-15 17:41:05 +08:00
还有一点比较好奇的是,在 UP 主的 android 电视机上,用什么软件抓包? wireshark 肯定是没有的.tcpdump?那个需要 root 权限的。。。
linuxgo
2023-02-15 17:47:52 +08:00
@mrzx #21 tools->packet sniffer
mrzx
2023-02-15 17:50:28 +08:00
@linuxgo 对哦,routeros 本身也支持抓包,今天帖子里的大佬们学到很多。。。
linuxgo
2023-02-15 18:08:27 +08:00
@3dxfood #18 我现在就是 ros 做 dns ,然后把国外的分流给 op 解析,我也看了 ros 的 dns static ,没看到如何添加 address-list ,一条条添加有点麻烦,因为总共有几十条地址要屏蔽
linuxgo
2023-02-15 18:10:46 +08:00
以前用 op 的 pw 的屏蔽网站功能很管用,但是 pw 的机场自动切换不好用,现在用的 openclash 又没地方加黑名单
3dxfood
2023-02-15 19:04:30 +08:00
@linuxgo 脚本做好,刷进 ROS 花不了一秒钟。我好奇你现在 ros 上的 DNS 分流怎么实现的?
mrzx
2023-02-15 20:46:21 +08:00
@linuxgo 可以做好脚本,用命令行方式刷上去。
linuxgo
2023-02-15 22:27:46 +08:00
@3dxfood #26 你说的有道理,还是要用脚本更方便。我现在的 ip 分流是把 chinaip 做成一个 addresslist ,在 mangle 里把除了这些 ip 以外的 ip 都转发到 op 去解析和代理。
neroxps
2023-02-16 08:32:10 +08:00
ros 能直接把某个域名加到 address-list 他会自动解析 ip 。然后 forward 表 block 这个 address_list 即可。设置起来比 OpenWrt 更简单。

@datocp 虽然我也不喜欢 ros (概念落后)但网络特别是防火墙配置上我感觉他比 OpenWrt 清晰,而且人家有手机 app 。OpenWrt 的 web ui 一言难尽。
neroxps
2023-02-16 08:33:04 +08:00
@mrzx ros 的 L7 正则写法简直反人类。感觉这部分代码是几十年没动过。
neroxps
2023-02-16 08:40:04 +08:00
@3dxfood

我的方案。 结合 op 做的。
ros 上游 dns 是 op 。脚本检查 op 的 dns 服务器工作不正常(例如进程 kill 掉了)那么就切回运营商 dns 。
自己写的脚本: https://github.com/neroxps/RouterOS-Script/blob/master/Clash_dns_check.rsc
neroxps
2023-02-16 08:42:41 +08:00
@linuxgo 有一个专门针对 ros 读取 clash 规则的 dns 工具。能通过 ros api 写到 address_list 里面。基于 coredns 做的插件。但没文档,go 写要编译。
配置得看代码写了🤣 作者就是写着玩的,文档没写。

https://github.com/charleyzhu/coredns_wormhole_plugin
linuxgo
2023-02-16 10:06:53 +08:00
@neroxps #29 我的思路就是这样,但是不知为何屏蔽不了,很郁闷
linuxgo
2023-02-16 10:29:26 +08:00
我现在就是把要屏蔽的域名添加到 blockweb address list 里,然后在 filter 添加
chain=forward action=reject reject-with=icmp-host-unreachable
dst-address-list=blockweb
但实际上完全没作用
neroxps
2023-02-16 13:35:11 +08:00
@linuxgo #33 要确保客户机拿到的 IP 和你规则配置的 IP 一致。另外你 forward 表的规则顺序得搞对,不然前面有个 accept 下面再搞什么 reject 都没用。
linuxgo
2023-02-16 15:43:03 +08:00
顺便问下 ros 里 mangle,NAT 和 filter 的规则执行是什么样一个顺序?哪个先哪个后呀
3dxfood
2023-02-17 20:44:14 +08:00
@linuxgo https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS
winbox
2023-02-21 03:29:57 +08:00
直接给长虹域名指定一个错误的 IP 地址
/ip/dns/static/add type=FWD match-subdomain=yes address-list=VPN forward-to=1.1.1.1 name=openwrt.org
linuxgo
2023-03-06 08:06:20 +08:00
@winbox 我现在是用静态 dns 把需要屏蔽的域名都指向其他 ip 地址,目前看起来是有效果了
winbox
2023-03-06 19:18:04 +08:00
@linuxgo dns 分流指定线路 玩法的还有很多……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/916223

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX