Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Boa dia a todos,

    1º - Galera, gostaria de saber qual a melhor forma de bloquear sites sem comprometer o equipamento. Tenho uma RB750gl e fiz algunhas regras de bloqueio de sites utilizando Firewll Layer7.

    2º - Como faço para visualizar a lista de sites acessados em tempo real ou em um log.

  2. O layer7 vai consumir muito CPU, habilite o cache sem gravar nada em disco, então você redireciona todo tráfego da porta 80 para o cache, então no access do cache pode dizer quem pode e o que pode acessar.



  3. Faça como o farias disse, use o WebProxy, nele tem uma opção que você não marca que é o Cache (none, unlimited), deixe como none.
    Também tenho interesse nos logs, sei que tem uma configuração em logging no Winbox, e você configura para remote, assim você pode colocar um pc com um programa para receber os logs do sistema, este grava em um arquivo .log que é do tipo txt. Aí daí pra frente, não fiz ainda

  4. 1 configurar web-proxy.
    2 criar uma lista com tudo que pode e nao pode e quem pode
    3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
    4 criar uma lista de ip com nome de bloqueado no address list do nat
    5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
    regras abaixo para proxy funcionar
    #
    /ip firewall nat
    add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
    add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
    add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
    #
    /ip firewall address-list
    add address=192.168.1.20 comment=jose disabled=no list=bloqueado
    #
    /ip proxy
    set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
    max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
    serialize-connections=no src-address=0.0.0.0
    /ip proxy access
    add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
    add action=deny comment=jose disabled=no dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
    add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
    add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
    add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
    add action=deny disabled=no dst-port="" path=*.flv
    add action=deny disabled=no dst-port="" path=*.avi
    add action=deny disabled=no dst-port="" path=*.mp4
    add action=deny disabled=no dst-port="" path=*.mp3
    add action=deny disabled=no dst-port="" path=*.zip
    add action=deny disabled=no dst-port="" path=*.rar

    #ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.



  5. Citação Postado originalmente por deson00 Ver Post
    1 configurar web-proxy.
    2 criar uma lista com tudo que pode e nao pode e quem pode
    3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
    4 criar uma lista de ip com nome de bloqueado no address list do nat
    5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
    regras abaixo para proxy funcionar
    #
    /ip firewall nat
    add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
    add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
    add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
    #
    /ip firewall address-list
    add address=192.168.1.20 comment=jose disabled=no list=bloqueado
    #
    /ip proxy
    set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
    max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
    serialize-connections=no src-address=0.0.0.0
    /ip proxy access
    add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
    add action=deny comment=jose disabled=no dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
    add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
    add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
    add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
    add action=deny disabled=no dst-port="" path=*.flv
    add action=deny disabled=no dst-port="" path=*.avi
    add action=deny disabled=no dst-port="" path=*.mp4
    add action=deny disabled=no dst-port="" path=*.mp3
    add action=deny disabled=no dst-port="" path=*.zip
    add action=deny disabled=no dst-port="" path=*.rar

    #ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.
    Legal irmao, ja tem algum tempo que venho seguindo seus posts, minah r750Gl e meu pc/mikrotik estao com estes regras aí,soh tem um problema:
    O usuario CONSEGUE acessar HTTPS ou seja-> https://facebook.com

    Tem alguma saida pra isso ?

    grato






Tópicos Similares

  1. Bloqueio de site indesejado
    Por Net_Mem no fórum Servidores de Rede
    Respostas: 2
    Último Post: 28-02-2004, 18:44
  2. Bloqueio de site indesejado
    Por Net_Mem no fórum Servidores de Rede
    Respostas: 3
    Último Post: 23-02-2004, 19:35
  3. Bloqueio de site indesejado
    Por Net_Mem no fórum Servidores de Rede
    Respostas: 0
    Último Post: 20-02-2004, 10:12
  4. Bloqueio de site
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 23-09-2003, 18:55
  5. Bloqueio de sites
    Por no fórum Servidores de Rede
    Respostas: 6
    Último Post: 03-04-2003, 19:30

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L