Boa dia a todos,
1º - Galera, gostaria de saber qual a melhor forma de bloquear sites sem comprometer o equipamento. Tenho uma RB750gl e fiz algunhas regras de bloqueio de sites utilizando Firewll Layer7.
2º - Como faço para visualizar a lista de sites acessados em tempo real ou em um log.
-
08-10-2012, 12:39 #1
- Ingresso
- Dec 2011
- Localização
- Camacari Ba
- Posts
- 2
Bloqueio de sites
-
08-10-2012, 21:16 #2
- Ingresso
- Jul 2009
- Localização
- Dourados - MS
- Posts
- 618
Re: Bloqueio de sites
O layer7 vai consumir muito CPU, habilite o cache sem gravar nada em disco, então você redireciona todo tráfego da porta 80 para o cache, então no access do cache pode dizer quem pode e o que pode acessar.
-
09-10-2012, 07:37 #3
- Ingresso
- May 2011
- Localização
- Rio Verde (GO)
- Posts
- 23
Re: Bloqueio de sites
Faça como o farias disse, use o WebProxy, nele tem uma opção que você não marca que é o Cache (none, unlimited), deixe como none.
Também tenho interesse nos logs, sei que tem uma configuração em logging no Winbox, e você configura para remote, assim você pode colocar um pc com um programa para receber os logs do sistema, este grava em um arquivo .log que é do tipo txt. Aí daí pra frente, não fiz ainda
-
09-10-2012, 11:18 #4
- Ingresso
- Apr 2008
- Localização
- Campo Grande - MS
- Posts
- 760
Re: Bloqueio de sites
1 configurar web-proxy.
2 criar uma lista com tudo que pode e nao pode e quem pode
3 criar um regra nat de redirecionar todas as portas de todos ips que estara no address list com nome de blqueado para a porta do proxy
4 criar uma lista de ip com nome de bloqueado no address list do nat
5 adicionar as permiçoes no access do proxy, podera redirecionar cada usuario para uma pagina que podera conter algum tipo de aviso escrito para que possa entender que esta agindo de forma incorreta e que esta sendo monitorado.
regras abaixo para proxy funcionar
#
/ip firewall nat
add action=redirect chain=dstnat comment="webproxy pppoe" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=192.168.6.0/24 to-ports=8080
add action=redirect chain=dstnat comment="webproxy hotspot" disabled=no dst-port=80 in-interface=ether2 protocol=tcp src-address=10.5.50.0/24 to-ports=8080
add action=redirect chain=dstnat comment="redireciona todas as portas para proxy" disabled=no protocol=tcp src-address-list=bloqueado to-ports=8080
add action=masquerade chain=srcnat comment="masquerade pppoe" disabled=no src-address=192.168.6.0/24 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot" disabled=no src-address=10.5.50.0/24 to-addresses=0.0.0.0
#
/ip firewall address-list
add address=192.168.1.20 comment=jose disabled=no list=bloqueado
#
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=yes enabled=yes max-cache-size=unlimited \
max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
serialize-connections=no src-address=0.0.0.0
/ip proxy access
add action=allow disabled=no dst-host=www.bylltec.com.br dst-port=""
add action=deny comment=jose disabled=no dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.20
add action=allow comment=chefe disabled=no dst-host=www.facebook.com dst-port="" src-address=192.168.1.25
add action=deny disabled=no dst-host=www.facebook.com dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=192.168.1.0/24
add action=deny disabled=no dst-host=:sexo dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2"
add action=deny disabled=no dst-port="" path=*.flv
add action=deny disabled=no dst-port="" path=*.avi
add action=deny disabled=no dst-port="" path=*.mp4
add action=deny disabled=no dst-port="" path=*.mp3
add action=deny disabled=no dst-port="" path=*.zip
add action=deny disabled=no dst-port="" path=*.rar
#ainda vc pode filtrar direto antes de ir no proxy pelo conteudo do site usando o content do nat.
-
01-11-2012, 10:44 #5
- Ingresso
- Mar 2011
- Localização
- sao paulo
- Posts
- 143
Re: Bloqueio de sites
Legal irmao, ja tem algum tempo que venho seguindo seus posts, minah r750Gl e meu pc/mikrotik estao com estes regras aí,soh tem um problema:
Postado originalmente por deson00
O usuario CONSEGUE acessar HTTPS ou seja-> https://facebook.com
Tem alguma saida pra isso ?
grato
-
01-11-2012, 12:13 #6
- Ingresso
- Apr 2008
- Localização
- Campo Grande - MS
- Posts
- 760
Re: Bloqueio de sites
claro pra tudo se tem um geito rs
adiciona esta regra para direcionar todo conteudo para o proxy logo abaixo do redirecionamendo da porta 80 e acima da liberação do nat mascared dos clientes
onde address-list é os clientes boqueados.
add action=redirect chain=dstnat comment="3 Web Proxy todas as portas ether2" disabled=no in-interface=ether2 protocol=tcp src-address-list=bloqueado to-ports=8080
ou vc pode pegar a regra que direciona a porta 80 e colocar no lugar de 80 o direcionamento de todas as portas 0-65535 ou ate mesmo deichar sem preencher que ele direciona tudo
ou ir no filter e dropar os cliente bloqueados.
ou ir em nat e fazer uma regra para a qual o content controle o conteudo do site e de acordo com o conteudo a regra manda o ip do site para address-list e assim podera facilmente sem nem precisar sabe os nomes dos sites.
-
05-11-2012, 09:23 #7
- Ingresso
- Apr 2011
- Localização
- santa rosa de viterbo
- Posts
- 80
Re: Bloqueio de sites
Bom dia Amigo gostaria de saber se existe outra regra referente ao https: que bloquease os sites que nos escolhemos ??? pois essa eu testei aqui para mim ele bloqueou tudo o que e https.
-
05-11-2012, 13:15 #8
- Ingresso
- Apr 2008
- Localização
- Campo Grande - MS
- Posts
- 760
Re: Bloqueio de sites
Depende da regra que vc esta utlizando, se possivel poste ela assim poderei dizer se realmente é por causa da regra. Postado originalmente por baleiro
A regra que redireciona https para porta do proxy so tera efeito se o site conter a palavra que foi posta no bloqueio e tb o ip do cliente estiver na lista caso contrario nao sera bloqueado e passara adiante e entrara normalmente, caso isso nao aconteça reveja a sequencia das regras de acordo co seu numero do id que se encontra do lado esquerdo na lista nat.
para entendimento seria assim
1 direcionamento 80 para porta 8080 proxy
2 proxy verifica o site, verifica o ip do cliente, verifica tipo de protocolo e caso esteja tudo ok ele passa adiante.
3 site é mostrado
4 direciona porta https 443 para porta do proxy 8080
5 proxy verifica o site, verifica o ip do cliente, verifica tipo de protocolo e caso esteja tudo ok ele passa adiante.
6 site é mostrado
7 redireciona 0-65000 todas as portas para 8080 do proxy
8 proxy verifica o site, verifica o ip do cliente, verifica tipo de protocolo e caso esteja tudo ok ele passa adiante.
9 site é mostrado
mas ainda existe inumeras formas de fazer este controle ai depende de como vc prefere utilizar
-
06-11-2012, 15:26 #9
- Ingresso
- Apr 2011
- Localização
- santa rosa de viterbo
- Posts
- 80
Re: Bloqueio de sites
eu usei sua regra so que no lugar da ether dois eu preciso colocar bridger so isso mais nao funcionou add action=redirect chain=dstnat comment="3 Web Proxy todas as portas bridger" disabled=no in-interface=bridger protocol=tcp src-address-list=bloqueado to-ports=8080
-
07-11-2012, 14:05 #10
- Ingresso
- Apr 2008
- Localização
- Campo Grande - MS
- Posts
- 760
Re: Bloqueio de sites
mas para esta regra funcionar para os ips que esta no address-list, com nome de bloqueado e tambem precisa estar no web-proxy na aba access com a regra de bloqueado ou seja deny, pois esta regra apenas faz o direcionamento caso nao encontre bloquei ele passa a diante. Postado originalmente por baleiro
regra abaixo que precisa eser posta de acordo com o ip do address-list
add action=deny disabled=no dst-port="" redirect-to=\
"www.bylltec.com.br/site/gestorserver/avisos/aviso_bloqueado.php\?idaviso=2" src-address=ip-do-address-list-aqui
Citação