Mikrotik - routeur, routeur, point d'accès.

Comment configurer Mikrotik ? Comment protéger Mikrotik des intrusions ennemies de l'extérieur ?
Initial configuration mikrotik- routeur (routeur). Protection initiale Mikrotik.

Pour protéger le routeur Mikrotik, vous devez :
1. Modifiez le mot de passe administrateur.
2. Désactivez les services inutiles et non réclamés.
3. Activer NAT
4. Configurez le pare-feu - organisez le filtrage et la transmission des paquets.

PS après la configuration de la commande, R, - le routeur effacera tous les paramètres, mais pas les mots de passe, vous pouvez vous y connecter via WinBox via IP - 192.168.88.1

Réglage depuis la console :
le nom d'utilisateur est admin, le mot de passe est vide.
Si vous oubliez votre mot de passe, seule une réinitialisation complète vous sauvera - la réinstallation du routeur !
Changer le mot de passe:
> utilisateur modifier le mot de passe administrateur
L'éditeur s'ouvre, entrez Nouveau mot de passe. Pour enregistrer et quitter, appuyez sur Ctrl + o (contrôle et en même temps la lettre o)
Vous pouvez ajouter un nouvel utilisateur, juste au cas où :
> utiliser add name=mkt password=12345 group=full

Voyons quelles interfaces il y a:
>impression d'interface


0 X ;;; BLÊME
éther1 éther 1500 1600 1600
1 FOIS ;;; réseau local
éther2 éther 1500 1600 1600

Activez le nécessaire :
>activation de l'interface 0
>activation de l'interface 1
>impression d'interface
Drapeaux : D - dynamique, X - désactivé, R - en cours d'exécution, S - esclave
# NOM TYPE MTU L2MTU MAX-L2MTU
0 R ;;; BLÊME
éther1 éther 1500 1600 1600
1R ;;; réseau local
éther2 éther 1500 1600 1600

Nous regardons IP :
> impression adresse ip
Prenons par exemple les paramètres suivants :
Fournisseur (Internet) - 195.196.10.50
GW (passerelle) - 195.196.10.49
Serveur DNS - 195.196.11.10, 195.196.12.10
Réseau local (interne) - 192.168.18.0/24
Ajouter l'adresse IP du fournisseur :
> adresse IP ajouter adresse = 195.196.10.10/30 interface = ether1
Ajouter des paramètres régionaux :
> adresse IP ajouter adresse = 192.168.18.0/24 interface = ether2
Voyons ce qui se passe:
> impression adresse ip
Ajouter une passerelle Provo :
> route IP ajouter passerelle = 195.196.10.49
Nous regardons:
> impression de route IP

Ajoutez le DNS du fournisseur Internet :
> ip dns set servers=195.196.11.10,195.196.12,10 allow-remote-request=yes

Activer NAT (mascarade) :
> ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Après ces réglages, le réseau interne aura Internet.

Configurer le pare-feu, c'est-à-dire il faut organiser le filtrage des paquets (chaînes d'entrée), et bien sûr, pour qu'après protection votre réseau puisse fonctionner - organiser le passage des paquets - ce sont des chaînes aller :

P.S Tout d'abord, passez par WinBox - IP -> Firewall -> Service Port - désactivez tout Désactiver, laissez ce dont vous avez besoin, à savoir dans notre cas pptp (serveur VPN), et si vous souhaitez utiliser le FTP intégré - ftp

Ajout de règles :
ip firewall filter add chain=input connection-state=invalid action=drop comment="Supprimer les connexions invalides"
ip firewall filter add chain=input connection-state=established action=accept comment="Autoriser les connexions établies"
ip firewall filter add chain=input protocol=udp action=accept comment="Autoriser UDP"
ip firewall filter add chain=input protocol=icmp action=accept comment="Autoriser ICMP"
ip firewall filter add chain=input src-address=192.168.0.0/24 action=accept comment="Autoriser l'accès depuis le réseau local"
Les deux règles suivantes - si vous souhaitez configurer l'accès via votre Mikrotik, à votre réseau interne via VPN (serveur pptp)
Le premier ouvre le port 1723, le second autorise le protocole 47(GRE).
ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723 comment="Autoriser l'accès au VPN"
ip firewall filter add chain=input action=accept protocol=gre comment="Si vous avez un VPN (serveur pptp)"
La règle suivante vous permet de vous connecter à votre Mikrotik via WinBox (port par défaut 8291)
P.S Naturellement, vous devez configurer la "LISTE de services IP" IP -> Services -> Liste de services IP, cliquez sur la ligne winbox, la fenêtre d'édition des données s'ouvrira -> changez l'IP en celle à partir de laquelle vous vous connecterez, le la même chose doit être faite avec SSH et WWW , désactivez tous les autres services - désactiver. (ip_address_allow est votre IP)
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=8291 comment="Autoriser l'accès via WinBox"
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=22 comment="Autoriser l'accès via SSH"
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=80 comment="Autoriser l'accès via WWW"
Si vous souhaitez utiliser le FTP intégré :
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=21 comment="Autoriser l'accès au FTP"
On coupe tout le reste :
ip firewall filter add chain=input action=drop comment="Rejeter rejeter tous les autres"

Pour sécuriser votre réseau, vous devez inspecter tout le trafic passant par
routeur et bloquer indésirable.

ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment="Supprimer les connexions invalides"
ip firewall filter add chain=forward connection-state=established action=accept comment="Autoriser les connexions déjà établies"
ip firewall filter add chain=forward connection-state=action liée=accept comment="Autoriser les connexions liées"
Au cas où, nous autorisons le passage du protocole GRE :
ip firewall filter add chain=forward protocol=gre action=accept comment="Autoriser GRE"
Si vous avez un serveur VPN, pour démarrer RDP (bureau à distance) autorisez le passage sur le port 3389.
filtre de pare-feu IP add chain=forward protocol=tcp dst-port=3389 action=accept comment="Autoriser 3389"

Nous bloquons les adresses IP des réseaux internes.
filtre de pare-feu IP add chain=forward src-address=0.0.0.0/8 action=drop
filtre de pare-feu ip add chain=forward dst-address=0.0.0.0/8 action=drop
filtre de pare-feu IP add chain=forward src-address=127.0.0.0/8 action=drop
filtre de pare-feu ip add chain=forward dst-address=127.0.0.0/8 action=drop
filtre de pare-feu IP add chain=forward src-address=224.0.0.0/3 action=drop
filtre de pare-feu ip add chain=forward dst-address=224.0.0.0/3 action=drop

Ou alors:
filtre de pare-feu ip add chain forward protocol=udp action=accept comment="Autoriser UDP"
ip firewall filter add chain forward protocol=icmp action=accept comment="Autoriser le ping ICMP"
Ou alors:
Pour le trafic icmp, udp et tcp, nous créerons des chaînes où nous déposerons les paquets indésirables :
Créer une transition vers de nouvelles chaînes
filtre de pare-feu IP add chain=forward protocol=tcp action=jump jump-target=tcp
filtre de pare-feu ip add chain=forward protocol=udp action=jump jump-target=udp
filtre de pare-feu IP add chain=forward protocol=icmp action=jump jump-target=icmp

Créons des règles TCP pour la chaîne TCP et refusons certains ports :
filtre de pare-feu IP add chain=tcp protocol=tcp dst-port=69 action=drop comment="Refuser TFTP"
ip firewall filter add chain=tcp protocol=tcp dst-port=111 action=drop comment="Refuser RPC portmapper"
ip firewall filter add chain=tcp protocol=tcp dst-port=135 action=drop comment="Refuser RPC portmapper"
filtre de pare-feu ip add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="Refuser NBT"
filtre de pare-feu ip add chain=tcp protocol=tcp dst-port=445 action=drop comment="Deny Cifs"
filtre de pare-feu IP add chain=tcp protocol=tcp dst-port=2049 action=drop comment="Refuser NFS"
filtre de pare-feu IP add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="Refuser NetBus"
filtre de pare-feu IP add chain=tcp protocol=tcp dst-port=20034 action=drop comment="Refuser NetBus"
filtre de pare-feu ip add chain=tcp protocol=tcp dst-port=3133 action=drop comment="Deny BackOriffice"
filtre de pare-feu ip add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="Refuser DHCP"

Refuser les ports udp pour la chaîne udp :
filtre de pare-feu ip add chain=udp protocol=udp dst-port=69 action=drop comment="Refuser TFTP"
ip firewall filter add chain=udp protocol=udp dst-port=111 action=drop comment="Deny PRC portmapper"
ip firewall filter add chain=udp protocol=udp dst-port=135 action=drop comment="Deny PRC portmapper"
filtre de pare-feu ip add chain=udp protocol=udp dst-port=137-139 action=drop comment="Deny NBT"
filtre de pare-feu IP add chain=udp protocol=udp dst-port=2049 action=drop comment="Refuser NFS"
filtre de pare-feu ip add chain=udp protocol=udp dst-port=3133 action=drop comment="Deny BackOriffice"

Autoriser uniquement les codes icmp nécessaires pour la chaîne icmp :
ip firewall filter add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="Supprimer les connexions invalides"
ip firewall filter add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="Dlauser les connexions établies"
ip firewall filter add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="Autoriser les connexions déjà établies"
ip firewall filter add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="Autoriser l'extinction de la source"
ip firewall filter add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="Autoriser la demande d'écho"
ip firewall filter add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="Autoriser le dépassement de temps"
ip firewall filter add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="Autoriser le mauvais paramètre"
filtre de pare-feu ip add chain=icmp action=drop comment="refuser tous les autres types"

La force brute, c'est quand quelqu'un essaie, parfois longtemps et durement, de deviner notre mot de passe à quoi que ce soit par la force brute. Sous Linux, fail2ban est utilisé avec succès pour se protéger contre cela. Il n'y a pas un tel plaisir dans Mikrotik, nous aurons donc le plaisir de créer une protection contre la force brute de nos propres mains.

La liste complète des commandes, que vous avez probablement vue sur le wiki officiel (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention) :

add chain=protocole d'entrée=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop brute ssh forcers" désactivé=non
add chain=protocole d'entrée=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" "désactivé=non
add chain=protocole d'entrée=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" "désactivé=non
add chain=protocole d'entrée=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" "désactivé=non
add chain=protocole d'entrée=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Et il existe de nombreux endroits sur le net où se trouve cet ensemble. Je vais juste expliquer un peu ce qu'il fait.

L'idée est la suivante : nous donnons trois tentatives légitimes en peu de temps pour nous connecter via ssh (22/tcp, si vous avez un port différent, mettez le vôtre). À la quatrième tentative - interdiction de 10 jours. Nous avons le droit. Alors, étape par étape.

1. Lorsqu'une nouvelle connexion est établie (connection-state=new) avec le port 22/tcp, on se souvient de l'ip source et on la met dans la liste "ssh_stage1" pendant 1 minute :

add chain=protocole d'entrée=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

2. Si pendant cette minute ce "quelqu'un" (et nous nous en sommes souvenus dans "ssh_stage1") veut établir à nouveau une nouvelle connexion avec 22/tcp, nous l'ajouterons à la liste "ssh_stage2", et aussi pendant 1 minute :

add chain=protocole d'entrée=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" "désactivé=non

3. Si pendant cette minute ce "quelqu'un" (maintenant dans "ssh_stage2") veut se reconnecter à 22/tcp, on l'ajoute à la liste "ssh_stage3" (oui, vous l'avez deviné, encore une fois pendant 1 minute) :

add chain=protocole d'entrée=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" "désactivé=non

4. S'il est têtu, alors eh bien, nous l'ajouterons à notre "liste noire" "ssh_blacklist" pendant 10 jours, car ce n'est pas bon.

add chain=protocole d'entrée=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" "désactivé=non

5. Et avec cette commande, nous bannirons tout le monde de la liste "ssh_blacklist" sans l'ombre d'un doute (notez que la règle est inactive par défaut) :

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=yes

En réalité, lorsque j'ai fait un tel schéma et essayé de me connecter depuis la console Linux à l'ip externe de mon mikrotik, déjà à la deuxième tentative (et pas sur 3 ou 4) l'ip "intrus" est entré dans la liste " ssh_blacklist " . Je n'utilise pas ssh pour Mikrotik, donc dans mon cas ce n'est pas fatal, mais si vous vous connectez vraiment à distance, alors dans un premier temps il peut être judicieux de ne pas activer la règle (disabled=yes) responsable du bannissement. Laissez-les s'inscrire sur la liste, sans poser de questions. Estimez en pratique combien de fois vous devez vous connecter à la suite avant d'entrer dans la liste des bannissements. Après les vérifications, activez la règle de ban sur la liste « ssh_blacklist » ! Je suis désolé que les commandes soient longues, mais l'analyseur mange la barre oblique inverse, donc c'est sur une seule ligne.

Cependant, il ne faut pas penser que seul Mikrotik a des problèmes de sécurité, Ubiquiti en a aussi, sans parler des marques comme TP-Link, etc. C'est une toute autre affaire que toutes les vulnérabilités ne sont pas dans le domaine public et que toutes les entreprises ne résolvent pas rapidement les problèmes.

RouterOS 6.35.8 – Déni de service

Une vulnérabilité dans la pile réseau de la version 6.38.5 de MikroTik publiée le 09/03/2017 pourrait permettre à un attaquant distant non authentifié d'épuiser tout le processeur disponible via un flot de paquets TCP RST, empêchant le routeur affecté d'accepter de nouvelles connexions TCP.

Si vous souhaitez apprendre à configurer MikroTik, nous vous suggérons de passer par là. Suite des informations détaillées Vous pouvez le trouver à la fin de ce post.

L'essence de la vulnérabilité dans ROS 6.38.5 est la possibilité de démarrer à distance le routeur avec des paquets TCP RST (flood), ce qui entraîne une charge des ressources CPU jusqu'à 100% et rend impossible la poursuite de la réception de paquets, provoquant un déni de service - Déni de service (DoS).

> moniteur de ressources système cpu-utilisé : 100 % cpu-utilisé-par-cpu : 100 % mémoire libre : 8 480 Kio

L'attaque est faite sur le port 8291, qui est utilisé par Winbox. De plus, l'exploit lui-même est en accès public, la situation est aggravée par le fait que sa mise en œuvre ne nécessite pas d'authentification, c'est-à-dire savoir même se connecter.

Méthodes de protection

Comme mesure temporaire, vous pouvez changer le port Winbox de 8291 en un port non standard. Vous pouvez le faire dans la section de la section IP - Services. désavantage cette méthode est qu'il ne fait rien pour se protéger contre les analyses de ports. Soit dit en passant, à Mikrotik dans la base Règles de pare-feu il n'y a aucune protection de balayage de port du tout. Si vous croisez un utilisateur averti, changer de port ne l'arrêtera en rien.

La protection la plus efficace sera d'utiliser les règles du pare-feu, en restreignant l'accès au port Winbox uniquement pour l'IP de l'administrateur. Vous pouvez le faire avec la règle :

filtre de pare-feu IP add chain=input action=accept protocol=tcp src-address=ADMIN_IP dst-port=8291 comment=Allow_Winbox

Où ADMIN_IP doit être remplacé par votre IP. Dans le même temps, n'oubliez pas de refuser l'accès à Winbox à toutes les autres adresses IP.

Pour les utilisateurs utilisant des routeurs Mikrotik à des fins domestiques, il n'y a rien à craindre, car les règles de base du pare-feu interdisent l'accès à Winbox à partir du WAN (Internet). Mais pour les grands réseaux d'entreprise ou fournisseurs, le problème est beaucoup plus grave, car les actions du ravageur peuvent entraîner une défaillance du réseau.

Jusqu'à ce que la vulnérabilité soit corrigée, il ne reste plus qu'à attendre la publication d'une mise à jour pour RouterOS.

Mis à jour par statut le 04-04-2014

Le forum officiel mikrotik continue de discuter de cette vulnérabilité.

L'utilisateur un1x0d a exécuté un test d'exploit sur RB751, hEX lite et CHR (8x Xeon), par conséquent, les trois appareils ont été chargés jusqu'à 100 %, ce qui a entraîné l'échec de tous les services réseau. De plus, comme l'a noté un1x0d, la vulnérabilité ne dépend pas du port et fonctionne avec d'autres ports.

L'utilisateur McSlash a testé la vulnérabilité sur RB951, RB2011, hAp Lite et CCR1036 - dans tous les cas, l'exploit a fonctionné. Aucune règle de pare-feu n'aide. Le support Mikrotik ne reconnaît pas encore le fait de la vulnérabilité. Nous continuons à suivre l'évolution.

Cours vidéo "Configuration de l'équipement MikroTik" (analogue de MTCNA)

Apprendre à travailler avec MikroTik ? Je recommande le cours vidéo "". Le cours couvre tous les sujets du programme officiel MTCNA et beaucoup de matériel supplémentaire. Le cours combine la partie théorique et la pratique - configuration du routeur selon les termes de référence. Les consultations sur les tâches du cours sont menées par son auteur Dmitry Skoromnov. Convient pour la première connaissance de l'équipement MikroTik et pour systématiser les connaissances des professionnels expérimentés.

Les routeurs du fabricant Mikrotik sont de plus en plus populaires en raison de leur prix attractif et de leurs fonctionnalités riches. Mikrotik est peut-être le leader du segment SOHO. Aujourd'hui, nous voulons parler d'options de configuration utiles qui contribueront à renforcer la résistance aux attaques externes et à assurer un fonctionnement stable de votre bureau Mikrotik.

Protection Mikrotik

1. Modifier le login et le mot de passe administrateur

Commençons par la protection principale de notre routeur - la création d'un identifiant de connexion et d'un mot de passe administrateur résistants au piratage. Par défaut, Mikrotik utilise un login administrateur et un mot de passe vide. Réparons-le : connectez-vous via Winbox à notre routeur et accédez à la section de configuration Système → Utilisateurs. On voit l'utilisateur administrateur, qui est configuré par défaut :

Ajoutons un nouvel utilisateur qui aura des détails de piratage plus stricts (login/mot de passe). Pour cela, cliquez sur l'icône "+" dans le coin supérieur gauche :

Veuillez noter que dans le champ Groupe, vous devez sélectionner complet pour accorder des privilèges administratifs à l'utilisateur. Une fois les paramètres définis, supprimez l'utilisateur administrateur et désormais nous n'utilisons que le nouvel utilisateur pour se connecter à l'interface d'administration.

2. Prises de service

Dans le routeur Mikrotik, certains services sont «protégés», dont les ports sont disponibles pour un accès depuis l'Internet public. Il s'agit potentiellement d'une vulnérabilité pour votre circuit réseau. Par conséquent, nous vous suggérons d'aller dans la section des paramètres IP → Prestations de service:

Si vous utilisez l'accès à Mikrotik uniquement via Winbox, nous vous suggérons de désactiver tous les services, à l'exception de winbox et chut(juste au cas où, laissez ssh), à savoir :

• api-ssl
• www-ssl

Pour désactiver, cliquez sur le "x" rouge. Depuis que nous sommes partis SSH accès au serveur, "sécurisons"-le en changeant le port de 22 à 6022. Pour cela, double-cliquez sur le port du service SSH et précisez le paramètre dans la fenêtre qui s'ouvre :

Cliquez sur appliquer et D'ACCORD.

3. Protection contre la force brute (brute force)

Sur le site officiel de Mikrotik, il existe des recommandations sur la façon de protéger votre routeur contre les mots de passe de force brute pour l'accès FTP et SSH. Dans l'étape précédente, nous avons fermé l'accès FTP, donc si vous suivez strictement cette instruction, utilisez uniquement le code pour vous protéger contre les attaques SSH. À autrement, copiez les deux. Alors, ouvrez le terminal de gestion du routeur. Pour cela, dans le menu de navigation de droite, cliquez sur Nouvelle borne. Copiez séquentiellement le code suivant dans la console du routeur :

/ip firewall filter #Bloquer les attaques FTP add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content ="530 Connexion incorrecte" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Connexion incorrecte" \ address-list =ftp_blacklist address-list-timeout=3h #Blocage des attaques SSH add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" disabled=no add chain= protocole d'entrée=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= "" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list -timeout =1m comment="" désactivé=aucune chaîne d'ajout=protocole d'entrée=tcp dst-por t=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Sauvegarde de la configuration

En cas de panne ou d'accident du routeur, vous devez avoir sa configuration à portée de main pour une récupération rapide. C'est extrêmement simple à réaliser : ouvrez le terminal en cliquant dans le menu de navigation Nouvelle borne et saisissez la commande suivante :

Exporter le fichier=sauvegarde2020-02-10_01:01:07

Le fichier peut être trouvé en cliquant dans le menu de navigation sur la section Des dossiers. Téléchargez-le sur votre PC en cliquant sur clic-droit souris et sélection Télécharger

Blocage d'accès au site

Les employés doivent travailler pendant les heures ouvrables. Par conséquent, bloquons l'accès aux ressources de divertissement telles que Youtube, Facebook et Vkontakte. Pour cela rendez-vous dans la rubrique IP → pare-feu. Cliquez sur l'onglet Protocole de couche 7 puis cliquez sur l'icône "+" dans le coin supérieur gauche :

Nous donnons un nom à notre règle qui fonctionnera au 7ème niveau du modèle OSI, et dans la section Regexp nous ajoutons :

^.+(youtube.com|facebook.com|vk.com).*$

Cliquez sur D'ACCORD et allez dans l'onglet Règles de filtrage et cliquez sur l'icône "+":

Dans la section Chaîne, sélectionnez Transférer. Aller à l'onglet dans la même fenêtre Avancé et dans le champ Layer 7 Protocol, sélectionnez la règle de blocage que nous avons créée :

Aller à l'onglet action, et là nous sélectionnons Action = Drop :

Une fois les réglages terminés, appuyez sur appliquer et D'ACCORD.

Cet article vous est-il utile ?

S'il vous plaît dites-moi pourquoi?

Nous sommes désolés que l'article ne vous ait pas été utile : (S'il vous plaît, si ce n'est pas difficile, indiquez pour quelle raison ? Nous vous serons très reconnaissants d'avoir une réponse détaillée. Merci de nous aider à nous améliorer !