Entradas

Bloquear Dominios en Mikrotik

Bloquear dominios en Mikrotik

Mikrotik, como un Firewall, tiene muchas posibilidades, que podemos aprovechar para controlar y gestionar mejor nuestra red.

Vamos a ver un ejemplo de lo que podríamos hacer con ella. En este caso lo que vamos a hacer es ver las distintas formas que tenemos de bloquear el acceso a un dominio, sus ventajas e inconvenientes. Hay webs que responden de una sola IP pública, pero otros responden a muchas.

En nuestro ejemplo vamos a bloquear la red social Facebook.

Ejemplo: Bloquear la red social Facebook en Mikrotik

Opción 1 – Bloqueo por rangos de IPs

Facebook, como empresa, dispone de varios rangos de direcciones IPs públicas para sus servidores. Estos rangos se pueden consultar en páginas como esta de Hurricane Electric.

Con esos rangos, podríamos generar una lista de direcciones para poder trabajar con todos ellos de forma más cómoda:

Bloquear_Dominios_Mikrotik

Luego, en el apartado Firewall -> Filter, podríamos generar una regla de Firewall que bloquease el acceso hacia esa lista de direcciones.

Con esto conseguimos bloquear cualquier acceso al dominio, la desventaja viene por tener que revisar periódicamente que esos rangos no hayan cambiado, no hayan nuevos, etc…, y además, según lo que se quiera bloquear, nos podemos encontrar con una muy larga lista de rangos, difícil de mantener y de generar, sobre todo, la primera vez.

Opción 2 – Bloqueo por Content

Con el firewall de Mikrotik podemos llegar a ver el contenido de un paquete, en la regla de bloqueo en Firewall -> Filter, podemos no indicar ninguna dirección IP, ni protocolo, e indicar un contenido:

Bloquear_Dominios_Mikrotik

Así conseguimos bloquear cualquier paquete que contenga esa palabra, el problema es que podríamos llegar a bloquear otras páginas, ya que es una forma muy genérica de bloqueo, al contener la palabra Facebook, cualquier página que la contenga, podría llegar a ser bloqueada.

Opción 3 – Bloqueo por DNS

No es sólo aplicable a Mikrotik, pero si no queremos que NADIE de nuestra red pueda acceder a un dominio, podemos poner una entrada DNS en el DNS de nuestros equipos y hacer que ese registro apunte a 127.0.0.1, de forma que cuando se quiera acceder, no salga la petición del propio equipo, recordemos que es la dirección loopback de nuestro equipo.

La desventaja, es que lo bloqueamos a todo equipo de nuestra red que consulte al DNS donde lo hemos aplicado.

Opción 4 – Bloqueo por nombre de dominio

A partir de la versión 6.36 de Mikrotik, se pueden generar listas de direcciones que apunten a un nombre de dominio. Por tanto, la idea es generar estas listas basadas en el nombre de dominio.

Lo primero es analizar que para acceder a Facebook nos veremos muchas veces con las siguientes formas de hacerlo: www.facebook.com, facebook.com, es-es.facebook.com, etc.

Después en IP -> DNS, tenemos que comprobar, si ya no lo teníamos antes, que la Mikrotik tiene alguna configurada para poder resolver nombres de dominio.

Así que en nuestro caso generamos una lista de direcciones que contenga las tres posiblidades anteriores:
Bloquear_Dominios_Mikrotik
Con esto, nuestra Mikrotik resolverá estos dominios, como vemos genera unas entradas dinámicas con las IPs que resuelve, que se actualizan cuando la entrada en el DNS caduca, y con una regla de Firewall podemos bloquear el acceso a esa address list.

Esta es la forma más cómoda de realizar el bloqueo, ya que prácticamente dejamos que la Mikrotik gestione qué direcciones resuelve el dominio en cualquier momento. Sólo tenemos que tener en cuenta que nuestro DNS sea la Mikrotik, o bien el DNS de la Mikrotik sea el mismo que el nuestro.

Esto lo podemos aplicar a cualquier otro dominio, y haciendo uso de las listas de direcciones, se pueden definir listas de PCs de nuestra red, y permitir y denegar acceso a ciertas webs, dependiendo de nuestros intereses.