Configurando o WEB-PROXY

[nataniel]

Pessoal,

Como eu faço para configurar o meu proxy para que ele não se torne um open-proxy? Por exemplo a rede que está atrás do Mirkotik e que terá permissão para usar o web-proxy é a 192.168.0.0/24, então eu coloquei ele em modo transparente e fiz a seguinte regra de firewall:

Código :

/ip firewall nat add src-address=192.168.0.0/255.255.255.0 dst-port=80 protocol=tcp action=redirect to-ports=3128 chain=dstnat

Até ai tudo bem... Está funcionando e fazendo cache perfeitamente e acelerando bem a conexão. O problema é que quero que APENAS a rede 192.168.0.0/0 tenha acesso a esse web-proxy e todas as outras não tenham e não encontrei como fazer isso... Talvez via firewall mas ainda não me entendi direito nos comandos e acabo apelando para o manual que as vezes me confunde mais do que ajuda.

[kilderman]

1º /ip web-proxy add src-address=192.168.0.0/24 action=allow (libera o proxy pra sua rede)
2º /ip web-proxy add src-address=0.0.0.0/24 action=deny (bloqueia todo o restante)

[nataniel]

Kilder,

Exatamente... Obrigado. Não havia entendido dessa forma no manual. No manula fala de uma regra padrão que já vem no sistema para a porta 443, mas não encontrei essa regra no meu sistema... Ela não existia.

[_AGM_]

Outra coisa, como posso incluir nessas regras uma opção para que não seja redirecionado para o proxy (fazendo conexão direta) ao site da Conectividade Social, por exemplo??? No IPTables era fácil, mas e no Mikrotik???

[kilderman]

Código :

/íp firewall nat chain=dstnat src-address=192.168.0.0/24 dst-address=!200.201.174.0/24 protocol=tcp dst-port=80 action=redirect to-ports=3128

note que no dst-address tem um ! eh assim mesmo.. isso identifica q qndo esse ip chega.. ele vai pula o proxy e conectar direto com o cliente :P

aki funciona perfeitamente.. qualquer coisa poste ae, espero ter ajudado!

[_AGM_]

Código :

/íp firewall nat chain=dstnat src-address=192.168.0.0/24 dst-address=!200.201.174.0/24 protocol=tcp dst-port=80 action=redirect to-ports=3128

note que no dst-address tem um ! eh assim mesmo.. isso identifica q qndo esse ip chega.. ele vai pula o proxy e conectar direto com o cliente :P

aki funciona perfeitamente.. qualquer coisa poste ae, espero ter ajudado!

Opa, ajudou com certeza... Mas se eu quiser especificar mais de um dst-address para não passar pelo proxy???

[cybersank]

Mas se eu quiser especificar mais de um dst-address para não passar pelo proxy

Pra isso mesmo temos o Address Lists no mesmo painél de firewall.

[kilderman]

mto boa cyber.. isso era uma coisa que eu queria saber mesmo..

vc tera que especificar todos os ips no address list..

dae na hora de criar alguma regra tem a aba advance e ali tem dst-address list.. ali vc coloca o nome da sua lista de ips.. que vc setou anteriormente :P

valeu mesmo =)