+ Responder ao Tópico



  1. #1

    Padrão Bloqueio de sites

    Boa dia a todos,

    1º - Galera, gostaria de saber qual a melhor forma de bloquear sites sem comprometer o equipamento. Tenho uma RB750gl e fiz algunhas regras de bloqueio de sites utilizando Firewll Layer7.

    2º - Como faço para visualizar a lista de sites acessados em tempo real ou em um log.

  2. #2

    Padrão Re: Bloqueio de sites

    O layer7 vai consumir muito CPU, habilite o cache sem gravar nada em disco, então você redireciona todo tráfego da porta 80 para o cache, então no access do cache pode dizer quem pode e o que pode acessar.



  3. #3

    Padrão Re: Bloqueio de sites

    Faça como o farias disse, use o WebProxy, nele tem uma opção que você não marca que é o Cache (none, unlimited), deixe como none.
    Também tenho interesse nos logs, sei que tem uma configuração em logging no Winbox, e você configura para remote, assim você pode colocar um pc com um programa para receber os logs do sistema, este grava em um arquivo .log que é do tipo txt. Aí daí pra frente, não fiz ainda

  4. #4

    Padrão Re: Bloqueio de sites

    1 configurar web-proxy.
    2 criar uma lista com tudo que pode e nao pode e quem pode
    3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
    4 criar uma lista de ip com nome de bloqueado no address list do nat
    5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
    regras abaixo para proxy funcionar
    #
    /ip firewall nat
    add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
    add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
    add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
    #
    /ip firewall address-list
    add address=192.168.1.20 comment=jose disabled=no list=bloqueado
    #
    /ip proxy
    set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
    max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
    serialize-connections=no src-address=0.0.0.0
    /ip proxy access
    add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
    add action=deny comment=jose disabled=no dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
    add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
    add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
    add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
    add action=deny disabled=no dst-port="" path=*.flv
    add action=deny disabled=no dst-port="" path=*.avi
    add action=deny disabled=no dst-port="" path=*.mp4
    add action=deny disabled=no dst-port="" path=*.mp3
    add action=deny disabled=no dst-port="" path=*.zip
    add action=deny disabled=no dst-port="" path=*.rar

    #ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.



  5. #5

    Padrão Re: Bloqueio de sites

    Citação Postado originalmente por deson00 Ver Post
    1 configurar web-proxy.
    2 criar uma lista com tudo que pode e nao pode e quem pode
    3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
    4 criar uma lista de ip com nome de bloqueado no address list do nat
    5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
    regras abaixo para proxy funcionar
    #
    /ip firewall nat
    add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
    add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
    add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
    add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
    #
    /ip firewall address-list
    add address=192.168.1.20 comment=jose disabled=no list=bloqueado
    #
    /ip proxy
    set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
    max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
    serialize-connections=no src-address=0.0.0.0
    /ip proxy access
    add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
    add action=deny comment=jose disabled=no dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
    add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
    add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
    add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
    add action=deny disabled=no dst-port="" path=*.flv
    add action=deny disabled=no dst-port="" path=*.avi
    add action=deny disabled=no dst-port="" path=*.mp4
    add action=deny disabled=no dst-port="" path=*.mp3
    add action=deny disabled=no dst-port="" path=*.zip
    add action=deny disabled=no dst-port="" path=*.rar

    #ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.
    Legal irmao, ja tem algum tempo que venho seguindo seus posts, minah r750Gl e meu pc/mikrotik estao com estes regras aí,soh tem um problema:
    O usuario CONSEGUE acessar HTTPS ou seja-> https://facebook.com

    Tem alguma saida pra isso ?

    grato

  6. #6

    Padrão Re: Bloqueio de sites

    claro pra tudo se tem um geito rs
    adiciona esta regra para direcionar todo conteudo para o proxy logo abaixo do redirecionamendo da porta 80 e acima da liberação do nat mascared dos clientes
    onde address-list é os clientes boqueados.

    add action=redirect chain=dstnat comment="3 Web Proxy todas as portas ether2" disabled=no in-interface=ether2 protocol=tcp src-address-list=bloqueado to-ports=8080

    ou vc pode pegar a regra que direciona a porta 80 e colocar no lugar de 80 o direcionamento de todas as portas 0-65535 ou ate mesmo deichar sem preencher que ele direciona tudo

    ou ir no filter e dropar os cliente bloqueados.

    ou ir em nat e fazer uma regra para a qual o content controle o conteudo do site e de acordo com o conteudo a regra manda o ip do site para address-list e assim podera facilmente sem nem precisar sabe os nomes dos sites.



  7. #7

    Padrão Re: Bloqueio de sites

    Bom dia Amigo gostaria de saber se existe outra regra referente ao https: que bloquease os sites que nos escolhemos ??? pois essa eu testei aqui para mim ele bloqueou tudo o que e https.

  8. #8

    Padrão Re: Bloqueio de sites

    Citação Postado originalmente por baleiro Ver Post
    Bom dia Amigo gostaria de saber se existe outra regra referente ao https: que bloquease os sites que nos escolhemos ??? pois essa eu testei aqui para mim ele bloqueou tudo o que e https.
    Depende da regra que vc esta utlizando, se possivel poste ela assim poderei dizer se realmente é por causa da regra.
    A regra que redireciona https para porta do proxy so tera efeito se o site conter a palavra que foi posta no bloqueio e tb o ip do cliente estiver na lista caso contrario nao sera bloqueado e passara adiante e entrara normalmente, caso isso nao aconteça reveja a sequencia das regras de acordo co seu numero do id que se encontra do lado esquerdo na lista nat.

    para entendimento seria assim

    1 direcionamento 80 para porta 8080 proxy
    2 proxy verifica o site, verifica o ip do cliente, verifica tipo de protocolo e caso esteja tudo ok ele passa adiante.
    3 site é mostrado
    4 direciona porta https 443 para porta do proxy 8080
    5 proxy verifica o site, verifica o ip do cliente, verifica tipo de protocolo e caso esteja tudo ok ele passa adiante.
    6 site é mostrado
    7 redireciona 0-65000 todas as portas para 8080 do proxy
    8 proxy verifica o site, verifica o ip do cliente, verifica tipo de protocolo e caso esteja tudo ok ele passa adiante.
    9 site é mostrado

    mas ainda existe inumeras formas de fazer este controle ai depende de como vc prefere utilizar



  9. #9

    Padrão Re: Bloqueio de sites

    eu usei sua regra so que no lugar da ether dois eu preciso colocar bridger so isso mais nao funcionou add action=redirect chain=dstnat comment="3 Web Proxy todas as portas bridger" disabled=no in-interface=bridger protocol=tcp src-address-list=bloqueado to-ports=8080

  10. #10

    Padrão Re: Bloqueio de sites

    Citação Postado originalmente por baleiro Ver Post
    eu usei sua regra so que no lugar da ether dois eu preciso colocar bridger so isso mais nao funcionou add action=redirect chain=dstnat comment="3 Web Proxy todas as portas bridger" disabled=no in-interface=bridger protocol=tcp src-address-list=bloqueado to-ports=8080
    mas para esta regra funcionar para os ips que esta no address-list, com nome de bloqueado e tambem precisa estar no web-proxy na aba access com a regra de bloqueado ou seja deny, pois esta regra apenas faz o direcionamento caso nao encontre bloquei ele passa a diante.
    regra abaixo que precisa eser posta de acordo com o ip do address-list

    add action=deny disabled=no dst-port="" redirect-to=\
    "www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=ip-do-address-list-aqui