Bloqueio pelo Opendns + Active Directory no Mikrotik
Boa tarde pessoal.
Sou novo no fórum.
Aqui na empresa usamos o Opendns para bloquear alguns sites, como redes sociais, 18+, etc.
Agora vamos adquirir um Mikrotik e configurar um AD.
Já sei que no DHCP do Mikrotik terei que colocar o DNS do Domain Controller e depois nele faço um forward para os DNS do Opendns.
Mas a questão é que não posso bloquear os sites do gerente, o acesso dele tem que ser livre, mas ele também precisa ter o IP do Domain Controller como DNS, senão não vai conectar no AD.
Pensei em capturar os pacotes da porta 53 que é o DNS no Mikrotik apenas do IP da máquina do gerente e redirecionar para outro DNS, tipo o do google por exemplo, isso é possível?
Tem alguma forma melhor de resolver esse problema?
Abs.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
sobe o NXFilter ai.
Ficará bem melhor que usar o OpenDNS e ainda consegue integrar com o AD.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Dei uma lida sobre e achei muito interessante esse NXFilter, eu nunca tinha ouvido falar.
Pelo que eu vi no site, ele é gratuito para até 20 usuários, é isso?
Meu maior problema agora é que a empresa é pequena, temos uns 15 usuários e somente um servidor que estará o AD e nesse servidor eu não poderia instalar o NXFilter porque ele já terá o DNS do domínio instalado.
Vou tentar conseguir algum micro velhinho, instalo o linux nele e rodo só o NXFilter nele. Se eu conseguir o micro, qual distribuição linux seria melhor eu usar?
Caso eu não consiga um micro para instalar o NXFilter, há alguma outra opção para eu fazer o que quero?
Muito obrigado pela ajuda
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Amigo cria uma address list com facebook.com - facebook.com.br e faço um drop pra essa lista, e cria também uma lista em src address list dos ips que vão ser liberados o acesso. Pronto isso vai bloquear para o restante que tentar acessar o Facebook
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Perfeito pessoal, vou estudar essas opções.
Muito obrigado a todos.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Vc pode fazer um regra usando nat e layer7 e redirecionar para seu Ad somente as solicitações do seu domínio. Passa seu domínio, range de IP da sua rede e IP do seu servidor Ad que posto as regras
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Outra coisa prefiro o Lumiun do que o nxfilter. 100% brasileira
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Citação:
Postado originalmente por
magnorm
Vc pode fazer um regra usando nat e layer7 e redirecionar para seu Ad somente as solicitações do seu domínio. Passa seu domínio, range de IP da sua rede e IP do seu servidor Ad que posto as regras
Muito interessante essa opção.
Dominio: uniao.lan
Range IP: 192.168.88.0/24
IP Servidor: 192.168.88.254
Citação:
Postado originalmente por
magnorm
Outra coisa prefiro o Lumiun do que o nxfilter. 100% brasileira
Obrigado pela recomendação, mas precisamos de uma solução gratuita.
2 Anexo(s)
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Desculpe a demora,
Segue prints do winbox e comandos utilizados
/ip firewall layer7-protocol
add name=DOMINIO_AD regexp=uniao.lan
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 layer7-protocol=DOMINIO_AD protocol=udp src-address=192.168.88.0/24 to-addresses=192.168.88.254
Anexo 67786
Anexo 67785
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Com essas regras independente de qual o dns que tiverem utilizando vao contactar o ad tranquilamente.
vc pode testar com o comando no prompt de comando nslookup uniao.lan
qualquer coisa estou a disposiçao
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Oloko cara, nem precisa se desculpar. Você foi de muito grande ajuda.
Muito obrigado.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Depois posta se deu certo
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Temos um grupo no whatsapp se quiser participar segue link https://chat.whatsapp.com/FqnXwJf0XtrJ4WzMrsXBKj
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Valeu, muito obrigado.
O Mikrotik chegará essa semana, acredito que semana que vem eu já configurei e faço o teste.
Volto aqui falar se deu certo.
Agora vou começar a pesquisar Port Forwarding, temos um cliente externo que usa um sistema que envia os dados por uma porta para o mesmo sistema que está no nosso servidor.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Citação:
Postado originalmente por
matrix554
Dei uma lida sobre e achei muito interessante esse NXFilter, eu nunca tinha ouvido falar.
Pelo que eu vi no site, ele é gratuito para até 20 usuários, é isso?
Meu maior problema agora é que a empresa é pequena, temos uns 15 usuários e somente um servidor que estará o AD e nesse servidor eu não poderia instalar o NXFilter porque ele já terá o DNS do domínio instalado.
Vou tentar conseguir algum micro velhinho, instalo o linux nele e rodo só o NXFilter nele. Se eu conseguir o micro, qual distribuição linux seria melhor eu usar?
Caso eu não consiga um micro para instalar o NXFilter, há alguma outra opção para eu fazer o que quero?
Muito obrigado pela ajuda
Qual a configuração desse servidor?
Dependendo, pode ser uma boa virtualizar ele.
Instala nele o VMWare Esxi ou Proxmox, e virtualiza o AD, e virtualiza o NXFilter.
Ou pode fazer conforme indicado pelo Batman ou pelo magnorm.
O único problema disso é que você terá que descobrir o IP de cada um deles e depois fazer uma regra no firewall bloqueando... OU usar layer7, o que irá consumir mais processamento da sua RB.
Sendo que o NXFilter já vem com mais de 1 bilhão de sites cadastrados e categorizados.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Citação:
Postado originalmente por
AndrioPJ
Qual a configuração desse servidor?
Dependendo, pode ser uma boa virtualizar ele.
Instala nele o VMWare Esxi ou Proxmox, e virtualiza o AD, e virtualiza o NXFilter.
Ou pode fazer conforme indicado pelo Batman ou pelo magnorm.
O único problema disso é que você terá que descobrir o IP de cada um deles e depois fazer uma regra no firewall bloqueando... OU usar layer7, o que irá consumir mais processamento da sua RB.
Sendo que o NXFilter já vem com mais de 1 bilhão de sites cadastrados e categorizados.
Pensei seriamente nessa opção de virtualizar o servidor, a configuração dele é a seguinte:
Intel® Xeon® E3-1220 v6 de 3 GHz
8GB de memória
1TB de HD
2 portas ethernet de 1GbE
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Citação:
Postado originalmente por
matrix554
Pensei seriamente nessa opção de virtualizar o servidor, a configuração dele é a seguinte:
Intel® Xeon® E3-1220 v6 de 3 GHz
8GB de memória
1TB de HD
2 portas ethernet de 1GbE
dá para virtualizar até 2 sistemas tranquilamente ai.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik
Citação:
Postado originalmente por
AndrioPJ
dá para virtualizar até 2 sistemas tranquilamente ai.
Pode me dar o caminho das pedras? rs
O VMWare Esxi é gratuito, mas depois nele tenho que instalar o vsphere que é pago pra rodar, é isso?
Esse proxmox nunca ouvi falar.
O patrão não vai querer gastar com isso, rs.
Re: Bloqueio pelo Opendns + Active Directory no Mikrotik