+ Responder ao Tópico



  1. #1

    Padrão Bloquear sites por grupo

    Salve galera.

    utilizo mikrotik 4.5 com hotspot na minha rede administrativa para gerar log's do que o meu pessoal acessa na internet, gostaria de poder bloquear determinados sites por grupo, sera que isso é possivel? ja explico.

    Todos autenticam para navegar via hotspot, e atualmente eu consigo bloquear sites mas somente para todos os usuarios, sera que tem alguma forma de eu selecionar por profile, por exemplo crio um determinado profile e determino a banda que esta disponibilizada para o usuario que esta cadastrado com este profile, gostaria de tambem poder definir uma lista de sites que estariam bloqueados para este mesmo profile, desta forma eu criaria grupos atravez de profiles.

    se alguem tiver alguma sugestão eu agradeço.

  2. #2

    Padrão

    Dá sim, há, ao meu vê, duas formas(uma eu sei que funciona, a outra é só teoria). Veja:
    Crie uma address list com os ips dos sites que deseja bloquear.
    Crie address list com os grupos(ips dos usuarios).
    Crie um filter de forward vindo da address list dos grupos com destino ao site. Assim funciona.
    A outra é você fazer apenas a address list dos sites e usar o incoming filter do hotspot indicando esta regra no firewall( use um jump para identificar a nome da chain).

    Espero ter lhe dado um caminho.

  3. #3

    Padrão

    Obrigado Raniel por sua Ajuda.

    A primeira opção eu não cheguei a testar, pois no meu caso eu tenho mais de um usuário de hotspot usando a mesma maquina, e ele podera se conectar em qualquer maquina da empresa, então não tenho como bloquear por IP.

    Ja no segundo caso, não funcionou, em vez de eu usar o "Address List" eu utilizo o "Layer 7" pois desta forma eu posso digitar a palavra ao invés do IP (me corrija se eu estiver errado).

    Nos meus testes eu criei dois grupos, A e B, criei as "chain" A e B com "Jump" depois criei os os "Filter Rulers" com as "chain"A e B indicando na aba Advanced em Layer7 do Grupo corespondente, e depois "Drop".
    Neste caso mesmo logando no hotspot com usuário de grupo diferente ele bloqueia todos os sites informados independente de grupo, no meu ver isso ocorre porque o firewall le as regras de cima para baixo e aplica todas (pelo menos acho que é isso).

    se tiver mais alguma sugestão sera muito bem vinda.

  4. #4

    Padrão

    Citação Postado originalmente por hotel Ver Post
    Obrigado Raniel por sua Ajuda.

    A primeira opção eu não cheguei a testar, pois no meu caso eu tenho mais de um usuário de hotspot usando a mesma maquina, e ele podera se conectar em qualquer maquina da empresa, então não tenho como bloquear por IP.

    Ja no segundo caso, não funcionou, em vez de eu usar o "Address List" eu utilizo o "Layer 7" pois desta forma eu posso digitar a palavra ao invés do IP (me corrija se eu estiver errado).

    Nos meus testes eu criei dois grupos, A e B, criei as "chain" A e B com "Jump" depois criei os os "Filter Rulers" com as "chain"A e B indicando na aba Advanced em Layer7 do Grupo corespondente, e depois "Drop".
    Neste caso mesmo logando no hotspot com usuário de grupo diferente ele bloqueia todos os sites informados independente de grupo, no meu ver isso ocorre porque o firewall le as regras de cima para baixo e aplica todas (pelo menos acho que é isso).

    se tiver mais alguma sugestão sera muito bem vinda.

    Amigo teria como tu postar a tua regra para eu dar uma olhada,pois estou tentando fazer a mesma coisa que tu porem via webproxy!!
    Valeuu

  5. #5

    Padrão

    Certo, usando o layer também ajuda.

  6. #6

    Padrão

    eu tambem tentei com o web-proxy do proprio mikrotik mas não rolou, as regras utilizadas são estas:


    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
    add action=jump chain=input comment="****** A ******" disabled=no jump-target=A layer7-protocol=A
    add action=drop chain=A comment="****** A ****** UOL" disabled=no layer7-protocol=A
    add action=jump chain=input comment="****** B ******" disabled=no jump-target=B layer7-protocol=B
    add action=drop chain=B comment="****** B ****** google" disabled=no layer7-protocol=B

    /ip firewall layer7-protocol
    add comment="" name=A regexp=uol
    add comment="" name=B regexp="google;\r\
    \nterra;\r\
    \nglobo;"

    /ip hotspot user profile
    add advertise=no idle-timeout=none incoming-filter=A keepalive-timeout=2m name=A open-status-page=always outgoing-filter=A shared-users=\
    1 status-autorefresh=1m transparent-proxy=yes
    add advertise=no idle-timeout=none incoming-filter=B keepalive-timeout=2m name=B open-status-page=always shared-users=1 \
    status-autorefresh=1m transparent-proxy=yes

    mas adianto não funcionou.

  7. #7

    Padrão

    Vou te dá um exemplo aqui, mas tome muito cuidade ao usar o layer7.
    Quero bloquear o site, pornotube.com para a faixa de rede 10.1.1.0/28, mas futuramente posso ter outras redes para o mesmo bloqueio. Vamos lá:
    1º - Step
    Criar uma address list para isto(melhor forma de trabalhar):
    Código :
    /ip firewall address-list add list=pornotube address=10.1.1.0/28 disable=no

    2º Step
    Criar a l7 para o site
    Código :
    /ip firewall layer7-protocol add name=pornotube regexp=\"pornotube\\.com\"

    3º Step
    Criar o filter para o l7
    Código :
    /ip firewall filter add chain=forward src-address-list=pornotube layer7-protocol=pornotube action=drop

    Desta forma vai bloquear tudo que tiver relacionado ao pornotube, mas eu aviso, há muita coisa para ser feita no regex, para que ele não faça da forma exemplificada acima. Eu mesmo tive que desativar a regra para enviar este post. rss.
    Tenha o máximo de sabedoria no que pretende fazer.
    Aconselho a leitura e o entendimento do material abaixo:
    Expressões Regulares

    Espero ter ajudado mais uma vez.

  8. #8

    Padrão

    Mais uma vez obrigado pela sua colaboração Raniel.

    Como voce já disse acima, com estas regras ele ira bloquear tudo relacionado a palavra chave, independente do usuario do hotspot que eu utilizar, e tambem quando voce diz "mas eu aviso, há muita coisa para ser feita no regex, para que ele não faça da forma exemplificada acima" significa que é possível fazer o controle por usuário ao invés de IP, porem é bem trabalhoso, estou correto?

    Obrigado pelo link "Expressões Regulares" já estou dando uma lida neste material, e tenho certeza que sera de grande aproveitamento.

  9. #9

    Padrão

    É isto aí, como deu para perceber, o layer7 é bem exigente. Se não fizer um filtro legal ele barra o que não é do interesse de todos.

  10. #10

    Padrão

    Vix, a coisa é mais complicada que eu pensei, bixo feio.

    mas que nada, a luta continua companheiro.

    por enquanto agradeço a sua ajuda, vou buscar mais material para conhecer melhor o layer7 e depois tentar fazer estas implementações.

  11. #11

    Padrão

    É isto aí, desistir: NUNCA!
    A melhor forma de lhe dar com o l7 é conhecer as expressoes regulares.