Liberar sites bloqueados apenas para IP Fixo

[pdro__junior]

Bom dia pessoal,

Estou com um problema, embora para alguns seja um pequeno problema. Como não tenho experiência com Mikrotik, ficaria muito grato se vocês me ajudassem a configurar o mikrotik para liberar os sites bloqueados apenas para os IPS fixos.
Aqui na empresa foram bloqueados apenas o Facebook e o Youtube para todos os usuários, porém existem 5 máquinas que agora estão com restrição mas precisam ter o acesso liberado a esses dois sites.

Como faço isso?


Desde já agradeço pela ajuda!

[Fernandols]

Faz o seguinte, cria uma address list,vai em ip>>firewall>>address list>>sinal de + e ali vc cria uma nova com o nome "acesso liberado" e em address vc bota os ips que nao vao passar pela regra na seguinte sintaxe ex: 192.168.2.20-192.168.2.25
Feito isso vc vai na aba filter do firewall (acredito que a regra deve ta feita por la) e na regra de bloqueio dos sites vc vai na aba advanced e em Src. Adrress list vc bota a que vc acabou de criar e comenta ela,deixa marcada a caixinha ao lado da opção.
Tenta la se conseguir ou não posta ai o resultado.

Abs.

[pdro__junior]

Fernando, obrigado pela ajuda... Deu certo com o youtube de primeiro, mas o facebook não deu!
Na verdade, o facebook chegou a abrir algumas vezes na máquina onde acesso o winbox.. Mas depois não abriu mais!
O que pode ser?

Obrigado!

[deson00]

Apenas configure tudo no mikrotik, assim que estiver tudo pronto ira aparecer o login do servidor proxy da faculdade apos logar e depois de autenticar nao pedira novamente para os outros usuarios do hotspot pois o mikrotik fez a vez de usuario da faculdade, mas ainda pedira senha para novos usuarios do hotspot do mikrotik.

Resumidamente so precisa autenticar uma vez no server da faculdade apois isso tera internet no mikrotik e podera ter hotspot pppoe e tudo mais que ele lhe oferece.

[pdro__junior]

Já tá configurado, deu certo o que o Fernando explicou... O problema agora é o facebook que em algum momento acessa e depois não!
O que eu faço?

Valeu!

[Fernandols]

Já tá configurado, deu certo o que o Fernando explicou... O problema agora é o facebook que em algum momento acessa e depois não!
O que eu faço?

Valeu!

Faz o seguinte na aba advanced em Content deixe somente facebook,nao ponha todo o endereço como facebook.com.

Tenta la.

[deson00]

Como a discução aqui é como fazer e nao o por que fazer vou mostrar as regras
1 configurar web-proxy.
2 criar uma lista com tudo que pode e nao pode e quem pode
3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
4 criar uma lista de ip com nome de bloqueado no address list do nat
5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
regras abaixo para proxy funcionar
#
/ip firewall nat
add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
#
/ip firewall address-list
add address=192.168.1.20 comment=jose disabled=no list=bloqueado
#
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
serialize-connections=no src-address=0.0.0.0
/ip proxy access
add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
add action=deny comment=jose disabled=no dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
add action=deny disabled=no dst-port="" path=*.flv
add action=deny disabled=no dst-port="" path=*.avi
add action=deny disabled=no dst-port="" path=*.mp4
add action=deny disabled=no dst-port="" path=*.mp3
add action=deny disabled=no dst-port="" path=*.zip
add action=deny disabled=no dst-port="" path=*.rar

#ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.

[pdro__junior]

Valeu pela ajuda deson!
Man como faço pra desbloquear o acesso para apenas 5 ips fixo?

Eu fiz do seguinte jeito: ip>>firewall>>address list>>sinal de + e criei uma nova com o nome "acesso liberado" e em address eu coloquei os ips que não vão passar pela regra na seguinte sintaxe ex: 192.168.2.20

E depois eu fui em: aba filter do firewall e na regra de bloqueio dos sites eu fui na aba advanced e em Src. Adrress list coloquei o nome da adress list que eu criei com os ips e comentei, e deixei marcada a caixinha ao lado da opção.
Coloquei do jeito que Fernando havia me explicado, deu certo para o youtube, mas para o facebook não.

Valeu!

[deson00]

vc esta bloqueando os sites pelo nome ou pelo ip?
Se for pelo ip se torna complicado bloquear pois varios sistes tem 2 ou mais ips o que pode ser feito é uma regra no filter com a palavra que contenha o endereço do site e a regra adiciona o ip do site automaticamente no address list.
vamos por etapas
/ip firewall filter
add action=add-dst-to-address-list address-list=bloqueado address-list-timeout=\
0s chain=forward content=facebook disabled=no

como esta sendo o bloqueio dos sites pela porta ?
pois fecebook usa porta segura se estiver bloqueando porta 80 varios sistes tera acesso tem que bloquear todas as portas.
esclareça mais informação para eu entender melhor como esta ai e outra coisa lembre que a regra e sempre contada de cima para baixo de acordo com a id do lado esquerdo.

[pdro__junior]

Valeu deson, deu certo agora... Só precisei subir a regra pra funcionar bacana!
Eu já tava bloqueando pelo nome mesmo, não ip...

Pra quem precisar fazer isso mesmo o que eu queria fazer, segue os passos do primeiro post do fernando e o antes desse que tô acabando de responder...

Valeu pelo ajuda a todos!