Como bloquear sites de pornografia e violência com MikroTik?

Essa dúvida é comum para administradores de redes que utilizam o MikroTik para fazer o controle da internet. Afinal, a ação de bloquear sites de pornografia e violência ajuda no propósito de evitar a exposição de crianças ao conteúdo explícito em redes domésticas e escolas infantis por exemplo, ou então, no desperdício de tempo dos colaboradores em redes corporativas.

Seja qual for o ambiente, esse assunto é sempre discutido entre os fóruns e grupos e por isso, decidimos listar 3 formas de como bloquear sites de pornografia e violência com MikroTik, juntamente com as vantagens e desvantagens de cada uma.

Dica 1: Bloqueio por palavras-chave usando protocolo layer7 com WebFig

Nesta primeira dica, vamos mostrar como bloqu ear os sites de pornografia e violência utilizando o protocolo layer7 através do software de gerenciamento do MikroTik conhecido como WebFig.

Passo 1: Acessar o painel WebFig

Acesse em seu navegador a interface web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login.

Passo 2: No topo da página, clique no botão WebFig

Passo 3: Acessar a página de configurações de Firewall

Acesse o menu IP → Firewall

Passo 4: Acessar formulário para criar regra de protocolos de layer7 (camada 7)

Acesse a aba “Layer7 Protocols” e clique no botão “Add New” para exibir o formulário.

Passo 5: Criar regras com as palavras-chave

No campo “Name”, digite um nome para a regra e no campo “Regexp”, vamos adicionar uma expressão regular que contenha as principais palavras-chave dos sites de pornografia.

Passo 6: Criando regras de filtragem URL

Neste passo você vai criar a regra de filtro para aplicar o bloqueio das regras adicionadas no passo anterior.

Acesse a aba “Filter Rules” e clique no botão “Add New”.

Na página de registrar nova regra, encontra o campo “Layer7 Protocol” da seção “Advanced” e selecione uma das regras criadas no passo 5.

Ainda na página de registro de regras, no campo “Action” selecione a opção “drop” e clique no botão “Apply” no topo da página para finalizar o cadastro.

Repita a ação para criar uma regra de filtragem para todas as suas regras da Layer7.

Passo 7: Testar o bloqueio

Em uma aba anônima do seu navegador, abra o Google, faça uma pesquisa pelo termo “porno” e tente acessar os sites que aparecerem nos resultados.

 

Vantagens

  • Rápido de implementar
  • Sem custo adicional
  • Baixa manutenção

Desvantagens

  • Pode bloquear sites úteis
  • É necessário acessar a rede interna para alterar as regras
  • Não possui relatórios de bloqueio

Dica 2: OpenDNS

OpenDNS é um serviço de filtragem e classificação de sites que pode ser integrado com o MikroTik através da configuração do DNS no WebFig.

Confira o passo-a-passo para aplicar o OpenDNS para bloqueio de sites de pornografia e violência.

Passo 1: Criar uma conta no OpenDNS

Para essa dica, vamos criar uma conta gratuita no plano OpenDNS Home.

Passo 2: Confirmar cadastro no e-mail

Após o registro, você vai receber um e-mail do OpenDNS com um link de confirmação do cadastro. Clique neste link para confirmar e abrir o painel de controle.

Passo 3: Criar nova rede

Após clicar no link de confirmação, você será redirecionado para o painel de controle do OpenDNS. Nesta página, vamos criar uma nova rede através do botão “Add a network”.

Passo 4: Informar IP da rede

Caso o sistema não preencher o IP automaticamente, informe o IP da rede que deseja filtrar e clique no botão “Add this network”.

Passo 5: Selecionar nível de bloqueio

Após adicionar a rede, clique na aba “Settings”, selecione a rede recém criada no campo “Settings for”, marque a opção “Moderate” que inclui as categorias de pornografia e violência e finalize clicando no botão “Apply”.

Passo 6: Copiar os IPs do OpenDNS para aplicar no MikroTik

Ainda no painel de controle do OpenDNS, na parte inferior da página, copie os dois IPs que serão aplicados na configuração do MikroTik: “The OpenDNS nameservers are 208.67.222.222  and 208.67.220.220”.

Passo 7: Acessar página de configuração DNS no WebFig do MikroTik

No painel WebFig do MikroTik acesse o menu IP → DNS.

Passo 8: Acessar página de configuração DNS no WebFig do MikroTik

Clique duas vezes na seta para baixo ao lado da palavra “Servers” para abrir dois novos campos e informar os IPs da OpenDNS, marque a opção “Allow Remote Requests” e clique no botão “Apply”.

Passo 9: Desativar opção “User Peer DNS”

Caso esteja utilizando informação de DNS do provedor ISP ou de algum outro roteador e esteja aparecendo informações no campo “Dyamic Servers” da página IP → DNS do MikroTik, acesse o menu IP → DHCP Client, clique na linha com as informações da interface, desmarque a opção “User Peer DNS” e clique no botão “Apply”.

Passo 10: Configurações complementares

Para finalizar a integração com o OpenDNS siga os passos complementares de segurança e redirecionamento no NAT.

Passo 11: Testar o bloqueio

Em uma aba anônima do seu navegador, acesse o site xvideos.com e veja que a tela de bloqueio do OpenDNS será exibida.

Vantagens do OpenDNS

  • Gratuito
  • Sem necessidade de manutenção de listas
  • Gerenciamento dos filtros na nuvem
  • Sem necessidade de equipamentos extras

Desvantagens do OpenDNS

  • Versão gratuita com limite de 3 redes
  • Não possui suporte em português
  • Listas de bloqueios não são normalizadas para o público brasileiro
  • Relatório muito básicos

Dica 3: Lumiun DNS

O Lumiun DNS é um novo serviço de filtragem DNS e classificação de conteúdo, que pode ser facilmente integrado ao MikroTik através do WebFig para facilitar o processo de bloqueio de sites de pornografia e violência.

Confira o passo-a-passo para instalar o Lumiun DNS.

Passo 1: Criar uma conta no Lumiun DNS

Acesse o endereço https://dns.lumiun.com/register para criar sua conta gratuita. Até o momento que escrevo esse artigo, é possível fazer o teste gratuito de todas as funcionalidades por 14 dias com a possibilidade e expandir para mais 30 dias ao responder um questionário de feedback.

Passo 2: Confirmar cadastro no e-mail

Após o registro, confirme sua conta através do botão “Verifique seu e-mail” no e-mail que foi enviado para você. Se o e-mail não estiver na sua caixa de entrada, verifique nos Spams e marque como “Não Spam” para receber os próximos.

Passo 3: Criar nova política

Após clicar no link de confirmação, você será redirecionado para o painel de controle do Lumiun DNS. Para facilitar a experiência, é exibido uma página com 3 passos iniciais.

O primeiro passo é criar uma política. Através da política é possível selecionar os locais, ativar os filtros e bloquear os aplicativos e sites.

 

 

Passo 4: Cadastrar novo local

No Lumiun DNS um local identifica uma rede, dispositivo ou lugar que você deseja fazer o controle e proteção.

Para cadastrar um local preencha o campo nome, selecione o fuso, marque a política criada no passo anterior e clique no botão “Próximo”.

 

Passo 5: Instalando o Lumiun DNS no MikroTik

Após criar o local, você será redirecionado para a página de instalação. Selecione a aba “MikroTik” e vamos seguir as instruções de instalação deste novo local.

Passo 6: Verifique se a opção “Use Peer DNS” do DHCP Client está habilitada

No painel WebFig do MikroTik, acesse o menu IP → DHCP Client e verifique se a opção “USE Peer DNS” está habilitada para a interface do seu link de internet.

Caso não estiver, você pode clicar em cima da linha, marcar a opção e clicar no botão “Apply”.

Passo 7: Informar endereço DoH

Copie o endereço DoH em destaque na página de instalação do Lumiun DNS.

 

Na página DNS do WebFig clique na seta para baixo do campo “User DoH Server”, cole o endereço e clique no botão “Apply”.

Passo 8: Limpar cache

Ainda no menu IP → DNS clique no botão “Cache” e então clique em “Flush cache”.

Passo 9: DNS Servers

Acesse o menu IP → DHCP Server. Clique na guia Networks. Clique sobre a rede que aparece abaixo, por exemplo, 192.168.88.0/24.

Preencha a opção “DNS Servers” com o mesmo endereço contido na opção “Gateway” logo acima. Clique em Apply e OK.

Passo 10: Habilitar filtros de bloqueio

De volta ao painel do Lumiun DNS, clique no menu “Políticas” no topo da página, selecione a política recém criadas e habilite os filtros “Bloqueio de Conteúdo Adulto” e “Bloquear conteúdo de abuso sexual infantil”.

 

Ainda na página e Políticas, vamos ativar a busca protegida para o Google e Bing. Esse filtro vai remover o conteúdo adulto nos resultados da pesquisa destes buscadores.

Passo 11: Configurações complementares

Para finalizar a integração com o Lumiun DNS siga os passos complementares de segurança e redirecionamento no NAT.

Passo 12: Testar o bloqueio

Em uma aba anônima do seu navegador, acesse o site redtube.com e veja que a tela de bloqueio do Lumiun DNS será exibida.

Vantagens do Lumiun DNS

  • Sem necessidade de manutenção de listas
  • Gerenciamento dos filtros na nuvem
  • Listas normalizadas para o usuário brasileiro
  • Sem necessidade de equipamentos extras
  • Gráfico com volume de requisições liberadas e bloqueadas
  • Estatísticas com os sites mais bloqueados
  • Logs em tempo real
  • Busca protegida para remover conteúdo adulto dos principais buscadores
  • Suporte em português

Desvantagens do Lumiun DNS

  • Não possui uma documentação completa
  • Está em fase de testes

Configuração complementar de segurança

Para evitar ataques de consultas externas, por causa da opção “Allow Remote Requests” habilitada no DNS, vamos definir novas regras no Firewall.

Passo 1: Acesse o Firewall

Acesse o menu IP → Firewall e clique no botão “Add New”.

Passo 2: Regra para bloquear consultas externas via UDP

  • No campo “Chain” selecione a opção “input”.
  • No campo “Protocol” selecione a opção “UDP”.
  • No campo “Dist. Port” informe o número da porta UDP “53”.
  • No campo “In. Interface” selecione a opção que está o seu link, por exemplo “ether1”.
  • No campo “Action” selecione a opção “Drop”.
  • Clique nos botões “Apply” e “Ok” respectivamente.

Passo 3: Regra para bloquear consultas externas via TCP

Repita os passos no passo anterior, com exceção do campo “Protocol” que agora você deve selecionar a opção “TCP”.

No final, você terá duas novas regras de Firewall, conforme imagem abaixo.

Redirecionamento no NAT

Vamos fazer um redirecionamento no NAT com o objetivo de forçar os dispositivos da rede a realizarem consultas pelo DNS configurado no MikroTik.

Passo 1: Acessando página de regras de NAT

Para adicionar nova regra de NAT acesse o menu IP → Firewall, clique na aba NAT e clique no botão “Add New”.

Passo 2: Adicionando nova regra de NAT

  • No campo “Chain” selecione a opção “dstnat”
  • No campo “Protocol” selecione “udp”
  • No campo “Dst. Port” informe a porta “53”
  • No campo “In. Interface” selecione a opção que está seu link, por exemplo “ether1” e marque a caixinha no lado para ficar aparecendo o sinal “!” (exclamação)
  • No campo “Action” selecione a opção “redirect”
  • Clique no botão “Apply” e “OK” respectivamente

Qual a melhor solução para a minha rede?

Vai depender da sua necessidade e tempo.

Se você possui tempo e não necessita acompanhar os bloqueios, a dica 1 seria a mais indicada, pois é gratuita. Porém, precisa de revisões periódicas na expressão regular e também adição de exceções e domínios falso-positivo.

A dica 2 (OpenDNS) é ideal para quem não possui tempo para manutenção das listas, não requer muitos detalhes dos bloqueios, precisa gerenciar até 3 redes distintas, não possui recursos financeiros para investir e não se importa se sites brasileiros de conteúdo adulto ficarem sem bloqueio.

Por fim, a dica 3 (Lumiun DNS) é indicada para quem não possui tempo para gerenciar as listas, necessita de um bloqueio mais rígido dos sites brasileiros e internacionais, precisa filtrar os resultados dos principais buscadores, quer visualizar logs e estatística de bloqueio em tempo real e deseja controlar a internet de múltiplas redes domésticas ou corporativas em um único painel de controle.

Posts Relacionados