Webproxy do Mikrotik: dicas para uso corporativo.

[alexrock]

Olá.
Devido a varias dúvidas sobre bloqueio via proxy do Mikrotik que vi no fórum resolvi montar um mini tutorial explicando os usos mais comuns do webproxy nas empresas.
Fica fora do escopo desse tutorial à colocação do mesmo em funcionamento transparente, cachê, etc. Também será focado na versão mais atual (4.X – 5.X) embora funcione na 3.X também.

As regras de bloqueio são colocadas na aba Access. Elas podem ser allow (permitir) ou deny (negar).

A ordem importa !
O proxy verifica as regras de cima para baixo, assim, as regras mais restritivas (abrangentes) devem ficar no final e as exceções no começo.

Cenário hipotético.
Vamos imaginar o seguinte cenário: uma empresa com 5 setores: gerencia, financeiro, recepção, vendas e suporte.

O gerente deve ter acesso ao MSN e redes sociais, menos sites de fileshare.
O financeiro deve ter acesso ao MSN e o restante deve ser bloqueado (fileshare, redes sociais). O mesmo vale para vendas.
A recepção deve ter o acesso ao MSN bloqueado, bem como fileshare e redes sociais.
O setor de suporte (nós, é claro!!) deve ter acesso irrestrito a tudo.

Abro aqui um parênteses. Quem presta suporte em empresas familiares sabem que o dono e muitas vezes seus agregados sempre determinam que seja tudo bloqueado, menos para eles, é claro! E não adianta argumentar que fileshare tem vírus, etc. É duro mais é a realidade, por isso o exemplo.


Veja que temos basicamente 3 grandes categorias de acesso: redes sociais, fileshare e MSN.

Temos também basicamente 4 categorias de usuários: tudo liberado (suporte), tudo bloqueado (recepção), MSN e redes sociais (gerente) e só MSN (financeiro e vendas).

Vamos convencionar utilizar os seguintes IPs por usuário:

192.168.0.10 – gerente;
192.168.0.20 – financeiro;
192.168.0.30 – vendas:
192.168.0.40 – recepção;
192.168.0.50 – suporte (é nóis...)


Podem parecer simplórios os exemplos, e são. Existem muitas mais categorias de sites no mundo, só estou exemplificando com alguns dos mais conhecidos.

Um pouco sobre MSN...

O MSN utiliza duas formas de conexão: utilizando diretamente a porta 1863 TCP (messenger.hotmail.com) e a porta 80 (gateway.messenger.hotmail.com) caso a outra esteja bloqueada. Nesse caso temos que forçar ele a utilizar a 80 bloqueando o forward da 1863 TCP:

Código :

/ip firewall filter
add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp

Nesse caso todo o trafego MSN irá pelo porta 80 e passará pelo proxy.


Pondo a mão na massa.

Devemos começar sempre liberando por IP e bloqueando geral. Assim:

1 - Liberar MSN para gerente, suporte, financeiro e vendas:

Código :

/ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.10.50

*Basta repetir essa regra mudando o src-address para os repectivos IPs que devem ser liberados.

Agora vem a regra restritiva (lembra que a ordem importa?):

Código :

add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger

Sacou ?! Nesse caso que tiver o IP nas primeiras regras acessam o MSN via 80, quem não tiver leva um block.

2 – Liberar redes sociais para gerente e suporte:

Código :

/ip proxy access
add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:orkut|facebook|badoo src-address=192.168.10.50

*Novamente, basta repetir essa regra mudando o src-address para os repectivos IPs dos setores.

Perai, o que é esse | (pipe)? É um operador lógico or (ou), ou seja, orkut ou facebook ou badoo. Assim dá pra por tudo na mesma regra.

Agora vem a regra de bloqueio:

Código :

add action=deny comment="Bloq rede sociais outros" disabled=no dst-host=:orkut|facebook|badoo

3 – Liberar fileshare para suporte:

Código :

/ip proxy access
add action=allow comment="Fileshare" disabled=no dst-host=:megaupload|easy-share|rapidshare src-address=192.168.10.50

Agora vem a regra de bloqueio:

Código :

add action=deny comment="Bloq fileshare outros" disabled=no dst-host=:megaupload|easy-share|rapidshare

Pronto, tudo tinindo.
Você já pode pedir um aumento (ou não) mas com certeza será linchado pelos seus colegas de trabalho.

Existem algumas regras de bloqueio que dever ser usadas por todos, como por exemplo:

Bloqueio de download de arquivos maliciosos:

Código :

add action=deny comment="Bloq Virus" disabled=no path=*.scr|*.bat|*.pif|*.cmd

Liberar Youtube, mas bloqueia outros tubes (porntube, etc):

Código :

add action=allow comment="Libera Yotube" disabled=no dst-host=*youtube.com*
add action=deny comment="Bloq outros Tubes" disabled=no dst-host=:tube

Enfim, não sou expert no Webproxy do Mikrotik mais quis compartilhar o pouco que sei com exemplos do dia-a-dia interessantes para empresas.
Sei que existe uma forma mais “enxugada” de fazer o mesmo que fiz acima, utilizando exceções nas regras (a notação !), mas tentei ser o mais “didático” possível.
Dúvidas e sugestões são bem vindas.
Obrigado.

[teletanbs]

bom ja contribuiu bastante!!

[Genis]

maravilha.

[rodrigo3631]

Amigo o operador "|" (pipe) pelo menos na versão 4.5 não funciona, será que é outro operador???

[ederamboni]

boa, tenho certeza que ajudara muita gente....

[alexrock]

Amigo o operador "|" (pipe) pelo menos na versão 4.5 não funciona, será que é outro operador???

Confesso que não testei na versão 4.X, visto que já havia atualizado para a 5.X.
Era pra funcionar...

[funchh]

cara! mto bom mesmo.. simples e funcional
Obrigado

[internetsecurity]

Galera sou novato aqui no fórum.... Bom dia a todos...tentei bloquear algumas páginas aqui no meu Mikrotik, como http://www.receita.faz.gov.br e 4shared.com - free file sharing and storage, eu fiz algumas regras em Ip - Firewall - Filter Rules, mais as ves funciona as vezes não.

Eu fiz Assim:
Chain=forward; Dst.Address=O ip do Site; Protocol=TCP Dst.Port=80 Action=Redirect; Reject With=icmp network unreachable

Aqui funcionou, mais eu gostaria que aparecesse a mensagem: Seu administrador is "ex:[email protected]"

Antes eu consegui colocar pra aparecer esta mensagem, agora não to conseguindo. Alguém tem outra sugestão?

Grato,
Internetsecurity
2011

[alexrock]

Sites de grande porte tem vários servidores e as vezes diferentes IP. O load balance no DNS sorteia o IP que vai atender a requisição no momento. Não acho q seja possível bloquear de forma eficiente esse tipo de site somente com firewall, vc tem q usar o proxy para isso.
Tente bloquear o orkut via firewall e depois me fala.

[itoclick]

cara parabens pelo post um dos melhores que já vi vou só tentar descobri porque o campo url aparece aqui e o operador| não é reconhecido com or

[superxandaoce]

Amigo parabéns pelo post, muito bom mesmo !

[Diorgny]

amigo, como faço para filtrar por palavras na versão 5.x, pois ja tentei de varias formas e não dá. Exemplo a palavra "sexo", ja coloquei no dst. Host=:sexo mas ele bloqueia somente quando a palavra está no meio da parte principal da url e não bloqueia quando está apos a barra "/".

Como resolvo isso?

[alexrock]

No Host só se bloqueia domínios mesmo. Pra bloquear após o domínio, use o campo path:

[Diorgny]

como devo colocar para ele bloquear pois ja tentei tbm e não consegui.
Usei das seguintes formas - :sexo - *sexo* - "sexo"
e não deu certo.

como devo especificar no path?

[alexrock]

Aqui eu coloquei :sexo e testei usando o Terra Sexo - Veja fotos e dicas para apimentar o sexo e ter mais prazer
Criei uma regra separada e usei o path, funfo legal.

[Diorgny]

cara, deu certo
eu tinha tentado mas não tinha dado certo, provavelmente especifiquei alguma coisa a mais e em virtude disso não bloqueou.

valew mesmo.

[cassioupa]

bom dia aqui deu quase tudo certo a unica coisa q n deu certo foi que ao acessar os sites liberados ele entre mas n carrega completamente o site faltando as imagens tipo só carrega o texto do site nem o fundo da pagina nao carrega
vou colocar aki como fiz:

forçar msn a usar a porta 80


/ip firewall filter
add action=drop chain=forward comment="Bloq MSN 1863" disabled=no dst-port=1863 protocol=tcp
_______________________________________________________________________________________________


libera msn ip
/ip proxy access add action=allow comment="MSN Suporte" disabled=no dst-host=:gateway.messenger src-address=192.168.1.254




agora bloquear os outros:


add action=deny comment="Bloq MSN outros" disabled=no dst-host=:gateway.messenger


________________________________________________________________________________________________


libera acesso total para o ip destinado
/ ip proxy access


add src-address=192.168.1.254/32 comment="Libera acesso para o pc de teste" disable=no action=allow


________________________________________________________________________________________________
libera acesso a determinados sites
/ip proxy access
add action=allow comment="Redes Sociais suporte" disabled=no dst-host=:globo|facebook|youtube src-address=192.168.1.252


________________________________________________________________________________________________
bloqueia tudo
add action=deny comment=Bloqueia_tudo


oq posso estar fazendo de errado?

[alexrock]

As imagens devem estar em outro servidor, como por exemplo, images.site.com.br.
Nesse caso você deve liberar o domínio todo, site.com.br ou invés de www.site.com.br.

[GuilhermeCampos]

ola alexrock obrigado pelas dicas.

criei as regas, esta liberando o MSN e bloqueando as redes sociais,

porem nao consegui bloquear toda a nevegaçao e liberar apenas o MSN


segue as minhas regras:


obs: regas 7 e 8 sao de teste e quando ativo para bloqueia tudo e o MSN cai
segue meu cenario:

grupo 01 pode TUDO
grupo 02 somente MSN
grupo 03 somente MSN e alguns sites previamente liberados

[cassioupa]

ok deu tudo certo agora alexrock porem eu preciso liberar o site do banco do brasil e n abre de jeito nenhum ele bloqueia mesmo estando no dst-host como bb ou bancodobrasil banco
qualquer texto que esteja na url e mesmo assim ele bloqueia
eh alguma coisa de ssl? usa outra porta a 443 ? como devo libera-lo?
obg