Página 6 de 7 PrimeiroPrimeiro ... 234567 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por internetsecurity Ver Post
    Galera sou novato aqui no fórum.... Bom dia a todos...tentei bloquear algumas páginas aqui no meu Mikrotik, como http://www.receita.faz.gov.br e 4shared.com - free file sharing and storage, eu fiz algumas regras em Ip - Firewall - Filter Rules, mais as ves funciona as vezes não.

    Eu fiz Assim:
    Chain=forward; Dst.Address=O ip do Site; Protocol=TCP Dst.Port=80 Action=Redirect; Reject With=icmp network unreachable

    Aqui funcionou, mais eu gostaria que aparecesse a mensagem: Seu administrador is "ex:fabianoredeswifi@hotmail.com"

    Antes eu consegui colocar pra aparecer esta mensagem, agora não to conseguindo. Alguém tem outra sugestão?

    Grato,
    Internetsecurity
    2011


    Prezado, pode me exemplificar como faço p/apresentar esse mensagem descrita acima, quando eu faço bloqueio?

  2. Citação Postado originalmente por alexrock Ver Post
    Olá.
    Devido a varias dúvidas sobre bloqueio via proxy do Mikrotik que vi no fórum resolvi montar um mini tutorial explicando os usos mais comuns do webproxy nas empresas.
    Fica fora do escopo desse tutorial à colocação do mesmo em funcionamento transparente, cachê, etc. Também será focado na versão mais atual (4.X – 5.X) embora funcione na 3.X também.

    As regras de bloqueio são colocadas na aba Access. Elas podem ser allow (permitir) ou deny (negar).

    A ordem importa !
    O proxy verifica as regras de cima para baixo, assim, as regras mais restritivas (abrangentes) devem ficar no final e as exceções no começo.

    Cenário hipotético.
    Vamos imaginar o seguinte cenário: uma empresa com 5 setores: gerencia, financeiro, recepção, vendas e suporte.

    O gerente deve ter acesso ao MSN e redes sociais, menos sites de fileshare.
    O financeiro deve ter acesso ao MSN e o restante deve ser bloqueado (fileshare, redes sociais). O mesmo vale para vendas.
    A recepção deve ter o acesso ao MSN bloqueado, bem como fileshare e redes sociais.
    O setor de suporte (nós, é claro!!) deve ter acesso irrestrito a tudo.

    Abro aqui um parênteses. Quem presta suporte em empresas familiares sabem que o dono e muitas vezes seus agregados sempre determinam que seja tudo bloqueado, menos para eles, é claro! E não adianta argumentar que fileshare tem vírus, etc. É duro mais é a realidade, por isso o exemplo.


    Veja que temos basicamente 3 grandes categorias de acesso: redes sociais, fileshare e MSN.

    Temos também basicamente 4 categorias de usuários: tudo liberado (suporte), tudo bloqueado (recepção), MSN e redes sociais (gerente) e só MSN (financeiro e vendas).

    Vamos convencionar utilizar os seguintes IPs por usuário:

    192.168.0.10 – gerente;
    192.168.0.20 – financeiro;
    192.168.0.30 – vendas:
    192.168.0.40 – recepção;
    192.168.0.50 – suporte (é nóis...)


    Podem parecer simplórios os exemplos, e são. Existem muitas mais categorias de sites no mundo, só estou exemplificando com alguns dos mais conhecidos.

    Um pouco sobre MSN...

    O MSN utiliza duas formas de conexão: utilizando diretamente a porta 1863 TCP (messenger.hotmail.com) e a porta 80 (gateway.messenger.hotmail.com) caso a outra esteja bloqueada. Nesse caso temos que forçar ele a utilizar a 80 bloqueando o forward da 1863 TCP:

    Código :
    /ip firewall filter
    add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp

    Nesse caso todo o trafego MSN irá pelo porta 80 e passará pelo proxy.


    Pondo a mão na massa.

    Devemos começar sempre liberando por IP e bloqueando geral. Assim:

    1 - Liberar MSN para gerente, suporte, financeiro e vendas:

    Código :
    /ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.10.50

    *Basta repetir essa regra mudando o src-address para os repectivos IPs que devem ser liberados.

    Agora vem a regra restritiva (lembra que a ordem importa?):

    Código :
    add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger

    Sacou ?! Nesse caso que tiver o IP nas primeiras regras acessam o MSN via 80, quem não tiver leva um block.

    2 – Liberar redes sociais para gerente e suporte:

    Código :
    /ip proxy access
    add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:orkut|facebook|badoo src-address=192.168.10.50

    *Novamente, basta repetir essa regra mudando o src-address para os repectivos IPs dos setores.

    Perai, o que é esse | (pipe)? É um operador lógico or (ou), ou seja, orkut ou facebook ou badoo. Assim dá pra por tudo na mesma regra.

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq rede sociais outros" disabled=no dst-host=:orkut|facebook|badoo


    3 – Liberar fileshare para suporte:

    Código :
    /ip proxy access
    add action=allow comment="Fileshare" disabled=no dst-host=:megaupload|easy-share|rapidshare src-address=192.168.10.50

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq fileshare outros" disabled=no dst-host=:megaupload|easy-share|rapidshare

    Pronto, tudo tinindo.
    Você já pode pedir um aumento (ou não) mas com certeza será linchado pelos seus colegas de trabalho.

    Existem algumas regras de bloqueio que dever ser usadas por todos, como por exemplo:

    Bloqueio de download de arquivos maliciosos:

    Código :
    add action=deny comment="Bloq Virus" disabled=no path=*.scr|*.bat|*.pif|*.cmd

    Liberar Youtube, mas bloqueia outros tubes (porntube, etc):

    Código :
    add action=allow comment="Libera Yotube" disabled=no dst-host=*youtube.com*
    add action=deny comment="Bloq outros Tubes" disabled=no dst-host=:tube

    Enfim, não sou expert no Webproxy do Mikrotik mais quis compartilhar o pouco que sei com exemplos do dia-a-dia interessantes para empresas.
    Sei que existe uma forma mais “enxugada” de fazer o mesmo que fiz acima, utilizando exceções nas regras (a notação !), mas tentei ser o mais “didático” possível.
    Dúvidas e sugestões são bem vindas.
    Obrigado.

    Bom Dia Prezado

    Aonde você descreve o IP 192.168.xx.xxx do usuário eu posso predefinir uma range ex: 192.168.50.2 à 192.168.50.2 ou seja quero aplicar regra p/todos IPs dentro desta faixa é possível?

    Att

    Marcelo



  3. Olá,

    Funcionou em partes, pois quando tempo liberar determinado site, por exemplo o youtube, não carrega imagens e nem os vídeos, a pagina fica só textos, sem nenhuma formatação. Qual a solução?

    No aguardo. Vlw

  4. Citação Postado originalmente por DRCirelli Ver Post
    Olá,

    Funcionou em partes, pois quando tempo liberar determinado site, por exemplo o youtube, não carrega imagens e nem os vídeos, a pagina fica só textos, sem nenhuma formatação. Qual a solução?

    No aguardo. Vlw
    Grandes site usam CDNs (http://pt.wikipedia.org/wiki/Content_Delivery_Network) para distribuir conteúdo, assim, você precisa liberar esses CDNs também...



  5. Tenho que descobri quais são os CDNs dos sites que pretendo liberar? Tenho problema tambem com e-mails, nao carrega nenhuma imagem.

    Obrigado






Tópicos Similares

  1. Respostas: 3
    Último Post: 23-11-2014, 14:18
  2. Respostas: 7
    Último Post: 06-04-2014, 01:15
  3. Rede Wireless Privada - Para uso corporativo
    Por Wandersonperin no fórum Redes
    Respostas: 15
    Último Post: 01-01-2011, 10:48
  4. Respostas: 5
    Último Post: 01-08-2009, 22:12
  5. Respostas: 5
    Último Post: 23-12-2006, 15:01

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L