Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    A 443 não passa pelo proxy, mas pode ter alguma coisa que a página carrega da 80 ai passa. Libera sua maquina direto antes das outras regras e verifique se tem algum elemento sendo carregado de outro site.

  2. #22
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Citação Postado originalmente por GuilhermeCampos Ver Post
    ola alexrock obrigado pelas dicas.

    criei as regas, esta liberando o MSN e bloqueando as redes sociais,

    porem nao consegui bloquear toda a nevegaçao e liberar apenas o MSN


    segue as minhas regras:
    Anexo 32857

    obs: regas 7 e 8 sao de teste e quando ativo para bloqueia tudo e o MSN cai
    segue meu cenario:

    grupo 01 pode TUDO
    grupo 02 somente MSN
    grupo 03 somente MSN e alguns sites previamente liberados
    Pra isso é só não forçar o msn pela 80, ou seja, não bloqueie a 1863 que ele vai conectar normalmente por ela. O idéia de forçar o msn pela 80 é controlar quem acessa ou não o msn, se todos vão acessar, não precisa bloquear a 1863.

  3. #23

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Citação Postado originalmente por alexrock Ver Post
    Olá.
    Devido a varias dúvidas sobre bloqueio via proxy do Mikrotik que vi no fórum resolvi montar um mini tutorial explicando os usos mais comuns do webproxy nas empresas.
    Fica fora do escopo desse tutorial à colocação do mesmo em funcionamento transparente, cachê, etc. Também será focado na versão mais atual (4.X – 5.X) embora funcione na 3.X também.

    As regras de bloqueio são colocadas na aba Access. Elas podem ser allow (permitir) ou deny (negar).

    A ordem importa !
    O proxy verifica as regras de cima para baixo, assim, as regras mais restritivas (abrangentes) devem ficar no final e as exceções no começo.

    Cenário hipotético.
    Vamos imaginar o seguinte cenário: uma empresa com 5 setores: gerencia, financeiro, recepção, vendas e suporte.

    O gerente deve ter acesso ao MSN e redes sociais, menos sites de fileshare.
    O financeiro deve ter acesso ao MSN e o restante deve ser bloqueado (fileshare, redes sociais). O mesmo vale para vendas.
    A recepção deve ter o acesso ao MSN bloqueado, bem como fileshare e redes sociais.
    O setor de suporte (nós, é claro!!) deve ter acesso irrestrito a tudo.

    Abro aqui um parênteses. Quem presta suporte em empresas familiares sabem que o dono e muitas vezes seus agregados sempre determinam que seja tudo bloqueado, menos para eles, é claro! E não adianta argumentar que fileshare tem vírus, etc. É duro mais é a realidade, por isso o exemplo.


    Veja que temos basicamente 3 grandes categorias de acesso: redes sociais, fileshare e MSN.

    Temos também basicamente 4 categorias de usuários: tudo liberado (suporte), tudo bloqueado (recepção), MSN e redes sociais (gerente) e só MSN (financeiro e vendas).

    Vamos convencionar utilizar os seguintes IPs por usuário:

    192.168.0.10 – gerente;
    192.168.0.20 – financeiro;
    192.168.0.30 – vendas:
    192.168.0.40 – recepção;
    192.168.0.50 – suporte (é nóis...)


    Podem parecer simplórios os exemplos, e são. Existem muitas mais categorias de sites no mundo, só estou exemplificando com alguns dos mais conhecidos.

    Um pouco sobre MSN...

    O MSN utiliza duas formas de conexão: utilizando diretamente a porta 1863 TCP (messenger.hotmail.com) e a porta 80 (gateway.messenger.hotmail.com) caso a outra esteja bloqueada. Nesse caso temos que forçar ele a utilizar a 80 bloqueando o forward da 1863 TCP:

    Código :
    /ip firewall filter
    add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp

    Nesse caso todo o trafego MSN irá pelo porta 80 e passará pelo proxy.


    Pondo a mão na massa.

    Devemos começar sempre liberando por IP e bloqueando geral. Assim:

    1 - Liberar MSN para gerente, suporte, financeiro e vendas:

    Código :
    /ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.10.50

    *Basta repetir essa regra mudando o src-address para os repectivos IPs que devem ser liberados.

    Agora vem a regra restritiva (lembra que a ordem importa?):

    Código :
    add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger

    Sacou ?! Nesse caso que tiver o IP nas primeiras regras acessam o MSN via 80, quem não tiver leva um block.

    2 – Liberar redes sociais para gerente e suporte:

    Código :
    /ip proxy access
    add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:orkut|facebook|badoo src-address=192.168.10.50

    *Novamente, basta repetir essa regra mudando o src-address para os repectivos IPs dos setores.

    Perai, o que é esse | (pipe)? É um operador lógico or (ou), ou seja, orkut ou facebook ou badoo. Assim dá pra por tudo na mesma regra.

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq rede sociais outros" disabled=no dst-host=:orkut|facebook|badoo


    3 – Liberar fileshare para suporte:

    Código :
    /ip proxy access
    add action=allow comment="Fileshare" disabled=no dst-host=:megaupload|easy-share|rapidshare src-address=192.168.10.50

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq fileshare outros" disabled=no dst-host=:megaupload|easy-share|rapidshare

    Pronto, tudo tinindo.
    Você já pode pedir um aumento (ou não) mas com certeza será linchado pelos seus colegas de trabalho.

    Existem algumas regras de bloqueio que dever ser usadas por todos, como por exemplo:

    Bloqueio de download de arquivos maliciosos:

    Código :
    add action=deny comment="Bloq Virus" disabled=no path=*.scr|*.bat|*.pif|*.cmd

    Liberar Youtube, mas bloqueia outros tubes (porntube, etc):

    Código :
    add action=allow comment="Libera Yotube" disabled=no dst-host=*youtube.com*
    add action=deny comment="Bloq outros Tubes" disabled=no dst-host=:tube

    Enfim, não sou expert no Webproxy do Mikrotik mais quis compartilhar o pouco que sei com exemplos do dia-a-dia interessantes para empresas.
    Sei que existe uma forma mais “enxugada” de fazer o mesmo que fiz acima, utilizando exceções nas regras (a notação !), mas tentei ser o mais “didático” possível.
    Dúvidas e sugestões são bem vindas.
    Obrigado.
    JOIA BELEZA OTIMO, parabens
    porem:
    https:faccebook.com
    httpsrkut.com
    abre tudo....

    Alguma dica pra bloquear ales m dos http o https tb dos sites do face orkut e afins ( direto no web proxy) e nao no firewal....
    E claro liberar pros usuarios VIPs..

    Na realidade eh assim ex:
    liberar o https://bancodobrasil.com.br e bloquear o https://orkut.com, Isso pro mesmo ip(usuario)

    Tem como ?


    grato

  4. #24
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Não tem jeito, somente se você usar Webproxy manual, não automático (redirecionado).
    Sem webproxy manual, somente via FW mesmo.

  5. #25
    Pronto Para Ajudar!!! Avatar de mjmmarcus2
    Ingresso
    Jun 2012
    Localização
    Paulista Pernambuco
    Posts
    428

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Tutorial perfeito, parabéns pelo conteúdo!

  6. #26

    Question Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Citação Postado originalmente por internetsecurity Ver Post
    Galera sou novato aqui no fórum.... Bom dia a todos...tentei bloquear algumas páginas aqui no meu Mikrotik, como http://www.receita.faz.gov.br e 4shared.com - free file sharing and storage, eu fiz algumas regras em Ip - Firewall - Filter Rules, mais as ves funciona as vezes não.

    Eu fiz Assim:
    Chain=forward; Dst.Address=O ip do Site; Protocol=TCP Dst.Port=80 Action=Redirect; Reject With=icmp network unreachable

    Aqui funcionou, mais eu gostaria que aparecesse a mensagem: Seu administrador is "ex:[email protected]"

    Antes eu consegui colocar pra aparecer esta mensagem, agora não to conseguindo. Alguém tem outra sugestão?

    Grato,
    Internetsecurity
    2011


    Prezado, pode me exemplificar como faço p/apresentar esse mensagem descrita acima, quando eu faço bloqueio?

  7. #27

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Citação Postado originalmente por alexrock Ver Post
    Olá.
    Devido a varias dúvidas sobre bloqueio via proxy do Mikrotik que vi no fórum resolvi montar um mini tutorial explicando os usos mais comuns do webproxy nas empresas.
    Fica fora do escopo desse tutorial à colocação do mesmo em funcionamento transparente, cachê, etc. Também será focado na versão mais atual (4.X – 5.X) embora funcione na 3.X também.

    As regras de bloqueio são colocadas na aba Access. Elas podem ser allow (permitir) ou deny (negar).

    A ordem importa !
    O proxy verifica as regras de cima para baixo, assim, as regras mais restritivas (abrangentes) devem ficar no final e as exceções no começo.

    Cenário hipotético.
    Vamos imaginar o seguinte cenário: uma empresa com 5 setores: gerencia, financeiro, recepção, vendas e suporte.

    O gerente deve ter acesso ao MSN e redes sociais, menos sites de fileshare.
    O financeiro deve ter acesso ao MSN e o restante deve ser bloqueado (fileshare, redes sociais). O mesmo vale para vendas.
    A recepção deve ter o acesso ao MSN bloqueado, bem como fileshare e redes sociais.
    O setor de suporte (nós, é claro!!) deve ter acesso irrestrito a tudo.

    Abro aqui um parênteses. Quem presta suporte em empresas familiares sabem que o dono e muitas vezes seus agregados sempre determinam que seja tudo bloqueado, menos para eles, é claro! E não adianta argumentar que fileshare tem vírus, etc. É duro mais é a realidade, por isso o exemplo.


    Veja que temos basicamente 3 grandes categorias de acesso: redes sociais, fileshare e MSN.

    Temos também basicamente 4 categorias de usuários: tudo liberado (suporte), tudo bloqueado (recepção), MSN e redes sociais (gerente) e só MSN (financeiro e vendas).

    Vamos convencionar utilizar os seguintes IPs por usuário:

    192.168.0.10 – gerente;
    192.168.0.20 – financeiro;
    192.168.0.30 – vendas:
    192.168.0.40 – recepção;
    192.168.0.50 – suporte (é nóis...)


    Podem parecer simplórios os exemplos, e são. Existem muitas mais categorias de sites no mundo, só estou exemplificando com alguns dos mais conhecidos.

    Um pouco sobre MSN...

    O MSN utiliza duas formas de conexão: utilizando diretamente a porta 1863 TCP (messenger.hotmail.com) e a porta 80 (gateway.messenger.hotmail.com) caso a outra esteja bloqueada. Nesse caso temos que forçar ele a utilizar a 80 bloqueando o forward da 1863 TCP:

    Código :
    /ip firewall filter
    add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp

    Nesse caso todo o trafego MSN irá pelo porta 80 e passará pelo proxy.


    Pondo a mão na massa.

    Devemos começar sempre liberando por IP e bloqueando geral. Assim:

    1 - Liberar MSN para gerente, suporte, financeiro e vendas:

    Código :
    /ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.10.50

    *Basta repetir essa regra mudando o src-address para os repectivos IPs que devem ser liberados.

    Agora vem a regra restritiva (lembra que a ordem importa?):

    Código :
    add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger

    Sacou ?! Nesse caso que tiver o IP nas primeiras regras acessam o MSN via 80, quem não tiver leva um block.

    2 – Liberar redes sociais para gerente e suporte:

    Código :
    /ip proxy access
    add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:orkut|facebook|badoo src-address=192.168.10.50

    *Novamente, basta repetir essa regra mudando o src-address para os repectivos IPs dos setores.

    Perai, o que é esse | (pipe)? É um operador lógico or (ou), ou seja, orkut ou facebook ou badoo. Assim dá pra por tudo na mesma regra.

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq rede sociais outros" disabled=no dst-host=:orkut|facebook|badoo


    3 – Liberar fileshare para suporte:

    Código :
    /ip proxy access
    add action=allow comment="Fileshare" disabled=no dst-host=:megaupload|easy-share|rapidshare src-address=192.168.10.50

    Agora vem a regra de bloqueio:

    Código :
    add action=deny comment="Bloq fileshare outros" disabled=no dst-host=:megaupload|easy-share|rapidshare

    Pronto, tudo tinindo.
    Você já pode pedir um aumento (ou não) mas com certeza será linchado pelos seus colegas de trabalho.

    Existem algumas regras de bloqueio que dever ser usadas por todos, como por exemplo:

    Bloqueio de download de arquivos maliciosos:

    Código :
    add action=deny comment="Bloq Virus" disabled=no path=*.scr|*.bat|*.pif|*.cmd

    Liberar Youtube, mas bloqueia outros tubes (porntube, etc):

    Código :
    add action=allow comment="Libera Yotube" disabled=no dst-host=*youtube.com*
    add action=deny comment="Bloq outros Tubes" disabled=no dst-host=:tube

    Enfim, não sou expert no Webproxy do Mikrotik mais quis compartilhar o pouco que sei com exemplos do dia-a-dia interessantes para empresas.
    Sei que existe uma forma mais “enxugada” de fazer o mesmo que fiz acima, utilizando exceções nas regras (a notação !), mas tentei ser o mais “didático” possível.
    Dúvidas e sugestões são bem vindas.
    Obrigado.

    Bom Dia Prezado

    Aonde você descreve o IP 192.168.xx.xxx do usuário eu posso predefinir uma range ex: 192.168.50.2 à 192.168.50.2 ou seja quero aplicar regra p/todos IPs dentro desta faixa é possível?

    Att

    Marcelo

  8. #28

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Olá,

    Funcionou em partes, pois quando tempo liberar determinado site, por exemplo o youtube, não carrega imagens e nem os vídeos, a pagina fica só textos, sem nenhuma formatação. Qual a solução?

    No aguardo. Vlw

  9. #29
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Citação Postado originalmente por DRCirelli Ver Post
    Olá,

    Funcionou em partes, pois quando tempo liberar determinado site, por exemplo o youtube, não carrega imagens e nem os vídeos, a pagina fica só textos, sem nenhuma formatação. Qual a solução?

    No aguardo. Vlw
    Grandes site usam CDNs (http://pt.wikipedia.org/wiki/Content_Delivery_Network) para distribuir conteúdo, assim, você precisa liberar esses CDNs também...

  10. #30

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Tenho que descobri quais são os CDNs dos sites que pretendo liberar? Tenho problema tambem com e-mails, nao carrega nenhuma imagem.

    Obrigado

  11. #31
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Webproxy do Mikrotik: dicas para uso corporativo.

    Liberar tudo e bloquear alguns é lista negra (blacklist).
    Liberar alguns e bloquear todo o resto é lista branca (whitelist).
    É isso mesmo, tem que descobrir um por um, por isso poucos são corajosos de usar lista branca...