Olá.
Devido a varias dúvidas sobre bloqueio via proxy do Mikrotik que vi no fórum resolvi montar um mini tutorial explicando os usos mais comuns do webproxy nas empresas.
Fica fora do escopo desse tutorial à colocação do mesmo em funcionamento transparente, cachê, etc. Também será focado na versão mais atual (4.X – 5.X) embora funcione na 3.X também.
As regras de bloqueio são colocadas na aba Access. Elas podem ser allow (permitir) ou deny (negar).
A ordem importa !
O proxy verifica as regras de cima para baixo, assim, as regras mais restritivas (abrangentes) devem ficar no final e as exceções no começo.
Cenário hipotético.
Vamos imaginar o seguinte cenário: uma empresa com 5 setores: gerencia, financeiro, recepção, vendas e suporte.
O gerente deve ter acesso ao MSN e redes sociais, menos sites de fileshare.
O financeiro deve ter acesso ao MSN e o restante deve ser bloqueado (fileshare, redes sociais). O mesmo vale para vendas.
A recepção deve ter o acesso ao MSN bloqueado, bem como fileshare e redes sociais.
O setor de suporte (nós, é claro!!) deve ter acesso irrestrito a tudo.
Abro aqui um parênteses. Quem presta suporte em empresas familiares sabem que o dono e muitas vezes seus agregados sempre determinam que seja tudo bloqueado, menos para eles, é claro! E não adianta argumentar que fileshare tem vírus, etc. É duro mais é a realidade, por isso o exemplo.
Veja que temos basicamente 3 grandes categorias de acesso: redes sociais, fileshare e MSN.
Temos também basicamente 4 categorias de usuários: tudo liberado (suporte), tudo bloqueado (recepção), MSN e redes sociais (gerente) e só MSN (financeiro e vendas).
Vamos convencionar utilizar os seguintes IPs por usuário:
192.168.0.10 – gerente;
192.168.0.20 – financeiro;
192.168.0.30 – vendas:
192.168.0.40 – recepção;
192.168.0.50 – suporte (é nóis...)
Podem parecer simplórios os exemplos, e são. Existem muitas mais categorias de sites no mundo, só estou exemplificando com alguns dos mais conhecidos.
Um pouco sobre MSN...
O MSN utiliza duas formas de conexão: utilizando diretamente a porta 1863 TCP (messenger.hotmail.com) e a porta 80 (gateway.messenger.hotmail.com) caso a outra esteja bloqueada. Nesse caso temos que forçar ele a utilizar a 80 bloqueando o forward da 1863 TCP:
Código :/ip firewall filter add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp
Nesse caso todo o trafego MSN irá pelo porta 80 e passará pelo proxy.
Pondo a mão na massa.
Devemos começar sempre liberando por IP e bloqueando geral. Assim:
1 - Liberar MSN para gerente, suporte, financeiro e vendas:
Código :/ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.10.50
*Basta repetir essa regra mudando o src-address para os repectivos IPs que devem ser liberados.
Agora vem a regra restritiva (lembra que a ordem importa?):
Código :add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger
Sacou ?! Nesse caso que tiver o IP nas primeiras regras acessam o MSN via 80, quem não tiver leva um block.
2 – Liberar redes sociais para gerente e suporte:
Código :/ip proxy access add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:orkut|facebook|badoo src-address=192.168.10.50
*Novamente, basta repetir essa regra mudando o src-address para os repectivos IPs dos setores.
Perai, o que é esse | (pipe)? É um operador lógico or (ou), ou seja, orkut ou facebook ou badoo. Assim dá pra por tudo na mesma regra.
Agora vem a regra de bloqueio:
Código :add action=deny comment="Bloq rede sociais outros" disabled=no dst-host=:orkut|facebook|badoo
3 – Liberar fileshare para suporte:
Código :/ip proxy access add action=allow comment="Fileshare" disabled=no dst-host=:megaupload|easy-share|rapidshare src-address=192.168.10.50
Agora vem a regra de bloqueio:
Código :add action=deny comment="Bloq fileshare outros" disabled=no dst-host=:megaupload|easy-share|rapidshare
Pronto, tudo tinindo.
Você já pode pedir um aumento (ou não) mas com certeza será linchado pelos seus colegas de trabalho.
Existem algumas regras de bloqueio que dever ser usadas por todos, como por exemplo:
Bloqueio de download de arquivos maliciosos:
Código :add action=deny comment="Bloq Virus" disabled=no path=*.scr|*.bat|*.pif|*.cmd
Liberar Youtube, mas bloqueia outros tubes (porntube, etc):
Código :add action=allow comment="Libera Yotube" disabled=no dst-host=*youtube.com* add action=deny comment="Bloq outros Tubes" disabled=no dst-host=:tube
Enfim, não sou expert no Webproxy do Mikrotik mais quis compartilhar o pouco que sei com exemplos do dia-a-dia interessantes para empresas.
Sei que existe uma forma mais “enxugada” de fazer o mesmo que fiz acima, utilizando exceções nas regras (a notação !), mas tentei ser o mais “didático” possível.
Dúvidas e sugestões são bem vindas.
Obrigado.