Como bloquear Facebook Youtube no Mikrotik

Saudações!

Uma das coisas mais complicadas é o Youtube, devido ao fato de compartilhar servidores com outros serviços como o buscador da Google, Gmail etc, além de ter cache em servidores que não são da Google, assim se bloquear os IPs bloqueia coisas que não poderiam ser bloqueadas. O Youtube e o Facebook também podem ser acessado com HTTPS, então o bloqueio por palavra chave proxy, já não funciona.

Enfim, a solução mais fácil e segura é via DNS.

No Mikrotik você pode fazer esse bloqueio cadastrando os endereços do youtube e facebook como entradas estáticas no DNS, Menu IP->DNS, veja imagens abaixo.



Fazendo testes, com HTTPS ainda acessou o Facebook, pesquisando Face no Google e clicando no resultado com HTTPS..., então criei a regra DNS com HTTPS no endereço também, print abaixo:

Aqui no caso criei 2 entradas pro Facebook, uma com o HTTPS

Bom, se o cliente tiver configurado o endereço de DNS com o IP do Mikrotik, já deve ter bloqueado, caso contrário, se tiver DNS da Google (8.8.8.8) ou outro, ainda é preciso fazer uma regra NAT no Firewall pra redirecionar todas as consultas de DNS para o próprio Mikrotik, assim, o cliente sempre irá usar o DNS do Mikrotik.

 Então acesse IP->Firewall, aba NAT, clica no + pra adicionar uma regra, e configura assim:

Chain: dstnat
Src address: ! 10.2.2.1 -> Ip local do Mikrotik
Protocolo: UDP
Porta: 53
Pacotes destinados a porta 53 protocolo UDP são consultas DNS
Então tudo o que for consulta DNS que NÃO tiver sendo feito do próprio Mikrotik (source address diferente do IP do Mikrotik) será feita a ação REDIRECT para porta 53, assim irá consultar o próprio DNS do Mikrotik, mesmo que o cliente tenha configurado outro endereço de DNS.

Na guia Action, fica consoante imagem abaixo:
Ação que redireciona
Desta forma, aqui nos meus testes, o facebook e o youtube foram bloqueados. Embora eu imagine que o usuário ainda poderia alterar aquele arquivo hosts (%WinDir%\System32\Drivers\Etc) na própria máquina, se ele souber o endereço IP do facebook e for administrador da máquina local consegue burlar esse bloqueio criando a entrada DNS na própria máquina. Acho que isso apenas usuários avançados conseguiriam, então até hoje creio que o bloqueio por DNS seja a melhor solução.

Obs.: No caso de você ter fechado consultas ao Mikrotik como explicado no post anterior, Fechando acesso ao Mikrotik, lembra de ter a regra que permite as consultas DNS:

add chain=input protocol=udp port=53 action=accept

Até o Futuro!

Firewall - Fechando o Acesso ao Mikrotik

Uma forma de proteger a rede é proteger o acesso ao roteador Mikrotik, para isso devemos criar primeiro as regras que liberam o acesso ao aparelho, e por último uma regra que bloqueia o restante. Se não fizer as regras que liberam o acesso primeiro você corre o risco de perder o acesso ao roteador e vai ter que resetar. Uma opção é na rede interna acessar com Winbox pelo MAC.

Regras de Filtro criadas no Firewall
Primeiro, acesse o Mikrotik pelo Winbox e abra o terminal, então siga os comandos abaixo para fazer a configuração. Dica: Use o TAB para completar comandos e ver opções de preenchimento.

Vai até a configuração dos filtros do firewall
ip firewall filter
Regra 1: Liberar o acesso ao Mikrotik pelo WinBox
add chain=input protocol=tcp port=8291 action=accept

Regra 2: Liberar o acesso por FTP, SSH e Telnet
add chain=input protocol=tcp port=21-23 action=accept

Regra 3: Aceita requisições DNS
add chain=input protocol=udp port=53 action=accept

Regra 4: Aceita conexões relacionadas
add chain=input connection-state=related action=accept

Regra 5: Rejeita o restante 
add chain=input action=drop