Buenas, Primero que nada tenemos que saber que es ASN (número de sistema autónomo) :
Un Sistema Autónomo es un grupo de redes basadas en IPv4 y IPv6 que poseen una política de rutas propias e independientes. Internet está constituido por una gran cantidad de Sistemas Autónomos, o también denominados AS (Autonomous System), por ejemplo, cada operador ISP tiene un AS diferente el cual está perfectamente identificado por su número de Sistema Autónomo. Los gigantes de Internet también tienen un número de Sistema Autónomo, ¿cómo sabemos qué número de Sistema Autónomo utiliza Google o Microsoft? Simplemente debemos preguntarle a RIPE, la organización que se encarga de gestionar el direccionamiento IP.
Para mas info: http://www.sectorx.com.ar/?p=6229 de donde extraje.
Entonces cada Grande tiene uno o varios números asignados, Ejemplo:
Facebook: AS54115 , AS32934
Twitter: AS13414 , AS35995
Microsoft: AS8075
También podemos averiguar del que nos interese de dos maneras, una es preguntado en la pagina de http://mxtoolbox.com/asn.aspx ponemos en nombre y nos tira los asn.
La otra es teniendo una ip y preguntar por medio del consulta de "WHOIS" a que ASN pertenece, esto se hace desde una consola terminal de linux:
con este comando le preguntamos a whois a quien pretence esta ip y nos muestra que pertenece a yahoo y que el ASN es AS5779.
Ahora ya tenemos el número de ASN con este número podemos pedir la lista de ip que tienen disponibles. también tenemos dos formas una es por medio de terminal de linux y pedimos las lista de ip por ejemplo la de yahoo:
y nos devuelve
Esta es la lista de ip a la fecha que tiene asignado yahoo entonces podemos hacer a mano por ejemplo una listado de ip en mikrotik
y luego decidimos qué hacer con esta lista, ejemplo bloquear:
O si no podría ser redirigir a otro pagina o al proxy interno del mikrotik y mostrar un cartel de pagina blokeada por ejemplo.
También encontré otra pagina que hace este trabajo y no devuelve el código listo para pegar en mikrotik
https://www.dan.me.uk/filtergen
donde seleccionamos para mikrotik y ponemos el ASN y no genera el filtrado completo, para mi gusto le falta es que genere una lista y no la regla de filtrado, pero es mucho más cómodo.
Pruebas realizadas me han dado un excelente resultado en cuanto al blokeo y no consume casi nada de recursos así que puede ser implementado tranquilamente.
Es importante aclarar que si deseamos usar esta regla para definir calidad de servicio (QoS) o asignarle un ancho de banda a facebook se debería hacerse con reglas de mangle pero hay un problema dentro de las páginas como por ejemplo facebook, esta web tiene almacenado todo el código dentro de sus propias IP pertenecientes al ASN de facebook Inc. pero el material multimedia lo tiene almacenado dentro de la empresa AKAMAI que se encarga de guardar las fotos y videos. Entonces deberíamos marcar los paquetes para AKAMAI con su propios ASN, el tema es que varía en cada país y depende de varias otras empresas lo cual se vuelve muy engorroso llegar marcar correctamente. Hay otra solución para este tema pero lo sigo en otro post.
Saludos.
Un Sistema Autónomo es un grupo de redes basadas en IPv4 y IPv6 que poseen una política de rutas propias e independientes. Internet está constituido por una gran cantidad de Sistemas Autónomos, o también denominados AS (Autonomous System), por ejemplo, cada operador ISP tiene un AS diferente el cual está perfectamente identificado por su número de Sistema Autónomo. Los gigantes de Internet también tienen un número de Sistema Autónomo, ¿cómo sabemos qué número de Sistema Autónomo utiliza Google o Microsoft? Simplemente debemos preguntarle a RIPE, la organización que se encarga de gestionar el direccionamiento IP.
Para mas info: http://www.sectorx.com.ar/?p=6229 de donde extraje.
Entonces cada Grande tiene uno o varios números asignados, Ejemplo:
Facebook: AS54115 , AS32934
Twitter: AS13414 , AS35995
Microsoft: AS8075
También podemos averiguar del que nos interese de dos maneras, una es preguntado en la pagina de http://mxtoolbox.com/asn.aspx ponemos en nombre y nos tira los asn.
La otra es teniendo una ip y preguntar por medio del consulta de "WHOIS" a que ASN pertenece, esto se hace desde una consola terminal de linux:
whois -h whois.radb.net -- '-i origin 206.190.36.45'
con este comando le preguntamos a whois a quien pretence esta ip y nos muestra que pertenece a yahoo y que el ASN es AS5779.
Ahora ya tenemos el número de ASN con este número podemos pedir la lista de ip que tienen disponibles. también tenemos dos formas una es por medio de terminal de linux y pedimos las lista de ip por ejemplo la de yahoo:
whois -h whois.radb.net -- '-i origin AS5779' | grep ^route:
y nos devuelve
route: 63.250.192.0/19
route: 69.147.69.0/24
route: 69.147.70.0/23
route: 67.195.252.0/22
route: 63.250.192.0/19
route: 206.190.32.0/19
route: 170.118.0.0/16
route: 206.190.57.0/24
route: 206.190.58.0/23
route: 206.190.60.0/22
route: 206.190.49.0/24
route: 205.172.212.0/22
route: 205.172.212.0/22
route: 205.172.213.0/24
route: 205.172.214.0/24
route: 205.172.215.0/24
route: 206.190.32.0/19
route: 63.250.192.0/19
route: 63.250.192.0/20
route: 63.250.208.0/20
route: 206.190.48.0/20
Esta es la lista de ip a la fecha que tiene asignado yahoo entonces podemos hacer a mano por ejemplo una listado de ip en mikrotik
/ip firewall address-list add list=yahoo comment="24-8-16" address=206.190.48.0/20
....
y luego decidimos qué hacer con esta lista, ejemplo bloquear:
/ip firewall filter add action=drop chain=forward comment="blokear yahoo" dst-address-list=yahoo
O si no podría ser redirigir a otro pagina o al proxy interno del mikrotik y mostrar un cartel de pagina blokeada por ejemplo.
También encontré otra pagina que hace este trabajo y no devuelve el código listo para pegar en mikrotik
https://www.dan.me.uk/filtergen
donde seleccionamos para mikrotik y ponemos el ASN y no genera el filtrado completo, para mi gusto le falta es que genere una lista y no la regla de filtrado, pero es mucho más cómodo.
Pruebas realizadas me han dado un excelente resultado en cuanto al blokeo y no consume casi nada de recursos así que puede ser implementado tranquilamente.
Es importante aclarar que si deseamos usar esta regla para definir calidad de servicio (QoS) o asignarle un ancho de banda a facebook se debería hacerse con reglas de mangle pero hay un problema dentro de las páginas como por ejemplo facebook, esta web tiene almacenado todo el código dentro de sus propias IP pertenecientes al ASN de facebook Inc. pero el material multimedia lo tiene almacenado dentro de la empresa AKAMAI que se encarga de guardar las fotos y videos. Entonces deberíamos marcar los paquetes para AKAMAI con su propios ASN, el tema es que varía en cada país y depende de varias otras empresas lo cual se vuelve muy engorroso llegar marcar correctamente. Hay otra solución para este tema pero lo sigo en otro post.
Saludos.