请选择 进入手机版 | 继续访问电脑版
查看: 6551|回复: 13

[讨论] ER-X url filter

[复制链接]

2

主题

7

帖子

138

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
138
发表于 2017-5-20 08:41:06 | 显示全部楼层 |阅读模式
搞了半天,号称电信级的强大的路由器ER-X,居然没有个很好的url filter(我想过滤一下https的url 和广告url之类)虽然有个webproxy的方案,但是这个不支持的https, 而且不是透传的,所有效率方面很低。
有说用dns拦截,都什么思路啊,dns客户端都可以改的,不用你的dns。

url filter在tomato,ddwrt里面都是非常简单的功能,iptables有 支持webstr或这weburl的模块,可以轻松进行url的过滤,都是很简单的功能,为何在ER-X里面没有?
回复

使用道具 举报

0

主题

9

帖子

35

积分

口耳相传

Rank: 1

积分
35
发表于 2017-12-9 01:24:37 | 显示全部楼层
你去国外网站体验一下,就知道他们为什么对广告过滤不感兴趣,周为没有需求,我们的这网虽然看起来很庞大,基本上靠广告金融支撑,如果把广告都灭了,看那些“云”们能活多少时间?
回复 支持 1 反对 0

使用道具 举报

4

主题

57

帖子

527

积分

飞鸽传书

Rank: 4Rank: 4Rank: 4Rank: 4

积分
527
发表于 2017-5-21 21:29:17 | 显示全部楼层
人家不搞大而全,就那么点资源
回复 支持 反对

使用道具 举报

2

主题

7

帖子

138

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
138
 楼主| 发表于 2017-5-22 08:15:57 来自手机 | 显示全部楼层
论资源,webproxy更耗资源,weburl检查只是转发过程中检查一下数据包,比webproxy快的多。
回复 支持 反对

使用道具 举报

4

主题

57

帖子

527

积分

飞鸽传书

Rank: 4Rank: 4Rank: 4Rank: 4

积分
527
发表于 2017-5-22 09:50:11 | 显示全部楼层
本帖最后由 gzwuke 于 2017-5-22 10:17 编辑

都到企业级了,要想干得好,不会一个路由器啥都干了,也干不过来,设备会细分。
别想着有了个webproxy,就一定会有你想要的url过滤,或许他们根本不重视这功能。
回复 支持 反对

使用道具 举报

2

主题

7

帖子

138

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
138
 楼主| 发表于 2017-5-23 21:41:31 来自手机 | 显示全部楼层
要啥没啥,这就是企业级的态度?
回复 支持 反对

使用道具 举报

2

主题

7

帖子

138

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
138
 楼主| 发表于 2017-5-28 08:58:32 来自手机 | 显示全部楼层
错怪er-x了,费了九牛二虎之力,重新编译了内核和iptables加入了webstr模块,然而也不能过滤https,只能过滤http。
回复 支持 反对

使用道具 举报

2

主题

7

帖子

138

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
138
 楼主| 发表于 2017-5-28 20:26:54 来自手机 | 显示全部楼层
我已经重新编译内核增加了xt_webstr.ko,iptables也重新编译增加了webstr模块,可以url过滤,可是可是还是不能过滤https。看来这个应该没有办法了!
回复 支持 反对

使用道具 举报

3

主题

974

帖子

3862

积分

有线传输

Rank: 5

积分
3862
发表于 2017-5-28 22:22:59 | 显示全部楼层
这个东西是路由器……你把他当作防火墙来要求本身就跑错地方了……
回复 支持 反对

使用道具 举报

13

主题

749

帖子

3501

积分

代理商工作人员

Rank: 15Rank: 15Rank: 15

积分
3501

airMAX认证培训师Unifi认证培训师

发表于 2017-6-24 00:47:53 | 显示全部楼层
本帖最后由 lethbr-jesse 于 2018-7-20 17:34 编辑

使用这个方法可以过滤 https

1) 使用 DNAT 劫持 UDP 端口 53 到路由器本地 DNS Proxy
2) 使用 DNS 条件转发到非 DNS 主机 (不存在的),如下:
  1. $ configure
  2. # set service dns forwarding options "server=/baidu.com/127.0.0.1"
  3. # commit
复制代码
Ubiquiti Certified Trainer(认证讲师) - UBWS, UBWA/UBWAv2, UEWA/UEWAv2 and UBRSS
UBNT官方授权京东专卖店:https://ubntlq.jd.com/
回复 支持 反对

使用道具 举报

22

主题

162

帖子

899

积分

飞鸽传书

Rank: 4Rank: 4Rank: 4Rank: 4

积分
899
发表于 2017-9-25 18:01:20 | 显示全部楼层
lethbr-jesse 发表于 2017-6-24 00:47
使用这个方法可以过滤 https

1) 使用 DNAT 劫持 UDP 端口 53 到路由器本地 DNS Proxy

测试好像不可以,是有其它地方需要设置吗?
回复 支持 反对

使用道具 举报

22

主题

162

帖子

899

积分

飞鸽传书

Rank: 4Rank: 4Rank: 4Rank: 4

积分
899
发表于 2017-9-25 22:02:05 | 显示全部楼层
lethbr-jesse 发表于 2017-6-24 00:47
使用这个方法可以过滤 https

1) 使用 DNAT 劫持 UDP 端口 53 到路由器本地 DNS Proxy

Dnat劫持udp端口53到路由器本地这条规则怎么加?
回复 支持 反对

使用道具 举报

13

主题

749

帖子

3501

积分

代理商工作人员

Rank: 15Rank: 15Rank: 15

积分
3501

airMAX认证培训师Unifi认证培训师

发表于 2017-9-26 15:32:59 | 显示全部楼层
本帖最后由 lethbr-jesse 于 2018-7-20 17:35 编辑
ERIC86 发表于 2017-9-25 22:02
Dnat劫持udp端口53到路由器本地这条规则怎么加?

例如:eth0 是 LAN,LAN 口 IP 地址是 192.168.1.0/24

1) 启用本地 DNS 转发在 eth0 接口上。
  1. set system name-server 223.5.5.5
  2. set system name-server 223.6.6.6
  3. set service dns forwarding listen-on eth0
复制代码
2) 使用目标地址 NAT (DNAT) 劫持内网所有 DNS 请求到路由器本地 DNS 代理。
  1. set service nat rule 1 destination port 53
  2. set service nat rule 1 inbound-interface eth0
  3. set service nat rule 1 inside-address address 192.168.1.1
  4. set service nat rule 1 log disable
  5. set service nat rule 1 protocol udp
  6. set service nat rule 1 source address 192.168.1.0/24
  7. set service nat rule 1 type destination
复制代码
3) 使用 DNS 条件转发到非 DNS 主机 (不存在的),例如:禁止解析 baidu.com 和 bing.com 域名。


  1. set service dns forwarding options "server=/baidu.com/127.0.0.1"
  2. set service dns forwarding options "server=/bing.com/127.0.0.1"
复制代码

Ubiquiti Certified Trainer(认证讲师) - UBWS, UBWA/UBWAv2, UEWA/UEWAv2 and UBRSS
UBNT官方授权京东专卖店:https://ubntlq.jd.com/
回复 支持 反对

使用道具 举报

1

主题

19

帖子

103

积分

烽火狼烟

Rank: 3Rank: 3Rank: 3

积分
103
发表于 2018-1-23 19:47:15 | 显示全部楼层
新建一个txt文件,按如下格式输入要屏蔽的URL
  1. address=/i360mall.com/127.0.0.1
  2. address=/360.cn/127.0.0.1
  3. address=/api.ad.xiaomi.com/127.0.0.1
  4. address=/new.api.ad.xiaomi.com/127.0.0.1
  5. address=/ad1.xiaomi.com/127.0.0.1
  6. address=/ad.xiaomi.com/127.0.0.1
  7. address=/ad.mi.com/127.0.0.1
复制代码
保存,改名成blacklist.conf,注意后缀名txt→conf

用WinSCP把blacklist.conf上传到路由的/etc/dnsmasq.d文件夹内,重启
不用谢

貌似本论坛就有大神
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

优倍快网络技术咨询(上海)有限公司 沪ICP备13034452

© ubnt.com.cn All Rights Reserved.本站发布的所有内容,未经许可,不得转载.

快速回复 返回顶部 返回列表