Balanceamento de links e bloqueio de sites com RB 750

[gehrke]

Prezados bom dia,

Possuo uma RouterBoard 750, e necessito configurara-lá para balanceamento de rede e bloqueio de sites da seguinte forma:

- Bloquear todos os sites e liberar uma lista branca.

- Há dois links de internet a serem balanceados, um link dedicado a oi e outro link que vem de uma outra rede em LAN 172.20.0.0/16, na qual é fornecido internet e serviços de alguns softwares como conexão para o siscomex, e que seria necessario um roteamento para comunicação com esta rede.

- possuímos em nossa rede local 192.168.1.0/24 com um servidor VMware com 3 maquinas virtuais, 1 windows e 2 debian, que precisaria de uma rota para acesso externo.

Gostaria de uma ajuda da galera do forum que me desse uma luz de como fazer esta configuração e se é possivel,

Grato pela ajuda.

[felipeandrade55]

É possível sim, para balancear os links você pode usar o PCC, da uma procurada aqui no fórum que tem bastante material, quanto a bloqueio de sites recomendo usar um proxy para isso, apesar de o mikrotik fazer este trabalho, não fica tão eficiente quanto um proxy e consome uma parcela boa de processamento dependendo do método usado. De mais detalhes desta sua rede 172.20.0.0/16 que te ajudo com o roteamento dela até chegar nas suas Vm's.

[gehrke]

É possível sim, para balancear os links você pode usar o PCC, da uma procurada aqui no fórum que tem bastante material, quanto a bloqueio de sites recomendo usar um proxy para isso, apesar de o mikrotik fazer este trabalho, não fica tão eficiente quanto um proxy e consome uma parcela boa de processamento dependendo do método usado. De mais detalhes desta sua rede 172.20.0.0/16 que te ajudo com o roteamento dela até chegar nas suas Vm's.

Olá, quanto ao roteamento para a rede 172.20.0.0/16, eu preciso que qqer estação ou servidor da minha rede 192.168.1.0/24 acesse qquer estação ou servidor da rede 172.20.0.0/16.

quanto ao proxy, nao seria possivel realizar apenas um bloqueio de dominios?

Grato pela ajuda!

[felipeandrade55]

Quanto a rota, você tem que criar uma rede do seu mikrotik apontando para o outro lado e vise versa. Quanto ao proxy, sim usando o "Content" do mikrotik da pra boquear o dominio, mas isso demanda muito processamento do router e pode causar lentidão na navegação. Melhor mesmo é colocar um proxy em paralelo com o Mikrotik fazendo esse bloqueio.

[marcioelias]

Olá, quanto ao roteamento para a rede 172.20.0.0/16, eu preciso que qqer estação ou servidor da minha rede 192.168.1.0/24 acesse qquer estação ou servidor da rede 172.20.0.0/16.

quanto ao proxy, nao seria possivel realizar apenas um bloqueio de dominios?

Grato pela ajuda!

Graças ao uso cada vez maior de HTTPS, proxy está ficando muito complicado, vc pretende se colocar entre o cliente e o site que ele está acessando tendo assim acesso as informações sigilosas dele (tecnicamente é possível, mais não é viável e eu particularmente não gostaria que vissem minhas informações do acesso ao internet banking).

Acredito que a forma mais eficiente de bloquear o uso da internet seja bloquar tudo e liberar somente os IPs dos sites que podem ser acessados, ou então se quiser bloquear poucos sites, bloqueia somente os endereços IPs destes e deixa o restante liberado.

[gehrke]

Graças ao uso cada vez maior de HTTPS, proxy está ficando muito complicado, vc pretende se colocar entre o cliente e o site que ele está acessando tendo assim acesso as informações sigilosas dele (tecnicamente é possível, mais não é viável e eu particularmente não gostaria que vissem minhas informações do acesso ao internet banking).

Acredito que a forma mais eficiente de bloquear o uso da internet seja bloquar tudo e liberar somente os IPs dos sites que podem ser acessados, ou então se quiser bloquear poucos sites, bloqueia somente os endereços IPs destes e deixa o restante liberado.

A intenção é mesmo bloquear todo o acesso a internet e só liberar as paginas permitidas, e este caso do https que você mencionou é mesmo chato, pois na matriz tenho que bloquear o youtube e facebook por iptables, pois não é possível bloquear-los no squid transparente.

Em qual parte do mikrotik posso fazer este bloqueio? pois pelo web proxy só encontrei opção de cache.

[felipeandrade55]

Em /ip firewall filter você pode usar a chain forward com dst addres o ip ou range de ip's do site que vc deseja bloquear, e o action, vc coloca drop. Porém, se você bloquear um site que esteja em uma hospedagem compartilhada, automaticamente vc vai bloquear todos os sites daquele servidor, atingindo assim alvos maiores que de sua intenção.