+ Responder ao Tópico



  1. A 443 não passa pelo proxy, mas pode ter alguma coisa que a página carrega da 80 ai passa. Libera sua maquina direto antes das outras regras e verifique se tem algum elemento sendo carregado de outro site.

  2. Citação Postado originalmente por GuilhermeCampos Ver Post
    ola alexrock obrigado pelas dicas.

    criei as regas, esta liberando o MSN e bloqueando as redes sociais,

    porem nao consegui bloquear toda a nevegaçao e liberar apenas o MSN


    segue as minhas regras:
    Anexo 32857

    obs: regas 7 e 8 sao de teste e quando ativo para bloqueia tudo e o MSN cai
    segue meu cenario:

    grupo 01 pode TUDO
    grupo 02 somente MSN
    grupo 03 somente MSN e alguns sites previamente liberados
    Pra isso é só não forçar o msn pela 80, ou seja, não bloqueie a 1863 que ele vai conectar normalmente por ela. O idéia de forçar o msn pela 80 é controlar quem acessa ou não o msn, se todos vão acessar, não precisa bloquear a 1863.



  3. Citação Postado originalmente por alexrock Ver Post
    Olá.
    Devido a varias dúvidas sobre bloqueio via proxy do Mikrotik que vi no fórum resolvi montar um mini tutorial explicando os usos mais comuns do webproxy nas empresas.
    Fica fora do escopo desse tutorial à colocação do mesmo em funcionamento transparente, cachê, etc. Também será focado na versão mais atual (4.X – 5.X) embora funcione na 3.X também.

    As regras de bloqueio são colocadas na aba Access. Elas podem ser allow (permitir) ou deny (negar).

    A ordem importa !
    O proxy verifica as regras de cima para baixo, assim, as regras mais restritivas (abrangentes) devem ficar no final e as exceções no começo.

    Cenário hipotético.
    Vamos imaginar o seguinte cenário: uma empresa com 5 setores: gerencia, financeiro, recepção, vendas e suporte.

    O gerente deve ter acesso ao MSN e redes sociais, menos sites de fileshare.
    O financeiro deve ter acesso ao MSN e o restante deve ser bloqueado (fileshare, redes sociais). O mesmo vale para vendas.
    A recepção deve ter o acesso ao MSN bloqueado, bem como fileshare e redes sociais.
    O setor de suporte (nós, é claro!!) deve ter acesso irrestrito a tudo.

    Abro aqui um parênteses. Quem presta suporte em empresas familiares sabem que o dono e muitas vezes seus agregados sempre determinam que seja tudo bloqueado, menos para eles, é claro! E não adianta argumentar que fileshare tem vírus, etc. É duro mais é a realidade, por isso o exemplo.


    Veja que temos basicamente 3 grandes categorias de acesso: redes sociais, fileshare e MSN.

    Temos também basicamente 4 categorias de usuários: tudo liberado (suporte), tudo bloqueado (recepção), MSN e redes sociais (gerente) e só MSN (financeiro e vendas).

    Vamos convencionar utilizar os seguintes IPs por usuário:

    192.168.0.10 – gerente;
    192.168.0.20 – financeiro;
    192.168.0.30 – vendas:
    192.168.0.40 – recepção;
    192.168.0.50 – suporte (é nóis...)


    Podem parecer simplórios os exemplos, e são. Existem muitas mais categorias de sites no mundo, só estou exemplificando com alguns dos mais conhecidos.

    Um pouco sobre MSN...

    O MSN utiliza duas formas de conexão: utilizando diretamente a porta 1863 TCP (messenger.hotmail.com) e a porta 80 (gateway.messenger.hotmail.com) caso a outra esteja bloqueada. Nesse caso temos que forçar ele a utilizar a 80 bloqueando o forward da 1863 TCP:

    Código :
    /ip firewall filter
    add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp

    Nesse caso todo o trafego MSN irá pelo porta 80 e passará pelo proxy.


    Pondo a mão na massa.

    Devemos começar sempre liberando por IP e bloqueando geral. Assim:

    1 - Liberar MSN para gerente, suporte, financeiro e vendas:

    Código :
    /ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.10.50

    *Basta repetir essa regra mudando o src-address para os repectivos IPs que devem ser liberados.

    Agora vem a regra restritiva (lembra que a ordem importa?):

    Código :
    add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger

    Sacou ?! Nesse caso que tiver o IP nas primeiras regras acessam o MSN via 80, quem não tiver leva um block.

    2 – Liberar redes sociais para gerente e suporte:

    Código :
    /ip proxy access
    add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:orkut|facebook|badoo src-address=192.168.10.50

    *Novamente, basta repetir essa regra mudando o src-address para os repectivos IPs dos setores.

    Perai, o que é esse | (pipe)? É um operador lógico or (ou), ou seja, orkut ou facebook ou badoo. Assim dá pra por tudo na mesma regra.

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq rede sociais outros" disabled=no dst-host=:orkut|facebook|badoo


    3 – Liberar fileshare para suporte:

    Código :
    /ip proxy access
    add action=allow comment="Fileshare" disabled=no dst-host=:megaupload|easy-share|rapidshare src-address=192.168.10.50

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq fileshare outros" disabled=no dst-host=:megaupload|easy-share|rapidshare

    Pronto, tudo tinindo.
    Você já pode pedir um aumento (ou não) mas com certeza será linchado pelos seus colegas de trabalho.

    Existem algumas regras de bloqueio que dever ser usadas por todos, como por exemplo:

    Bloqueio de download de arquivos maliciosos:

    Código :
    add action=deny comment="Bloq Virus" disabled=no path=*.scr|*.bat|*.pif|*.cmd

    Liberar Youtube, mas bloqueia outros tubes (porntube, etc):

    Código :
    add action=allow comment="Libera Yotube" disabled=no dst-host=*youtube.com*
    add action=deny comment="Bloq outros Tubes" disabled=no dst-host=:tube

    Enfim, não sou expert no Webproxy do Mikrotik mais quis compartilhar o pouco que sei com exemplos do dia-a-dia interessantes para empresas.
    Sei que existe uma forma mais “enxugada” de fazer o mesmo que fiz acima, utilizando exceções nas regras (a notação !), mas tentei ser o mais “didático” possível.
    Dúvidas e sugestões são bem vindas.
    Obrigado.
    JOIA BELEZA OTIMO, parabens
    porem:
    https:faccebook.com
    httpsrkut.com
    abre tudo....

    Alguma dica pra bloquear ales m dos http o https tb dos sites do face orkut e afins ( direto no web proxy) e nao no firewal....
    E claro liberar pros usuarios VIPs..

    Na realidade eh assim ex:
    liberar o https://bancodobrasil.com.br e bloquear o https://orkut.com, Isso pro mesmo ip(usuario)

    Tem como ?


    grato

  4. Não tem jeito, somente se você usar Webproxy manual, não automático (redirecionado).
    Sem webproxy manual, somente via FW mesmo.



  5. Tutorial perfeito, parabéns pelo conteúdo!






Tópicos Similares

  1. Respostas: 3
    Último Post: 23-11-2014, 14:18
  2. Respostas: 7
    Último Post: 06-04-2014, 01:15
  3. Rede Wireless Privada - Para uso corporativo
    Por Wandersonperin no fórum Redes
    Respostas: 15
    Último Post: 01-01-2011, 10:48
  4. Respostas: 5
    Último Post: 01-08-2009, 22:12
  5. Respostas: 5
    Último Post: 23-12-2006, 15:01

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L