Bloqueio de sites!

[btamaral18]

Boa noite galera, estou aqui no meu primeiro post para solicitar um help...
Estou querendo implementar o Mikrotik 3.30 para controle da internet e fazer bloqueios de todos os sites e fazer a liberação só dos que são necessários para os usuários trabalharem. Tipo com exemplo o linux, se bloqueia os domínios: .com, .com.br, cadastra os sites comum a todos e depois libera o ip de quem vai ficar com acesso total a internet. Minha duvida e se o Mikrotik faz isto pois cadastrar todos os sites da web e impossível. Abraço

[petersonquemel]

Boa tarde amigo,
vc pode fazer isso de algumas formas, na maiorias dos casos te indicaria fazer isso pelo web proxy, mas eu tenho um server assim e faço esse controle só no firewall mesmo. nesse server faço o bloqueio de toda rede e libero apenas alguns sites. e no caso do acesso full prefiro criar uma nova rede sem bloqueio pra esse grupo, mas vc pode fazer como está abaixo.
segue as regras. adpte-as as suas necessidades.

ip firewall filter add chain=forward src-address 192.168.0.0/24 action=drop (aki vc fecha essa rede)

ip firewall filter add chain=forward src-address 192.168.2 dst-address 200.160.2.3 action=accept (aki vc libera o ip da maquina para o destino, no caso aki o registro.br)

ip firewall filter add chain=forward src-address 192.168.0.2 action=accept (aki vc libera um ip para acesso full)

lembrando que suas regras de acept tem q ficar sempre acima da regra de bloqueio.

qualquer duvida posta ae.

se ajudei acrescente a minha reputação.

[btamaral18]

Peterson estou fazendo um lab em uma VM configurei para poder fechar todo o acesso a internet mas a estação continuo navegando. O que eu fiz de errado?

Regra que eu add:

ip firewall filter p
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=drop protocol=tcp in-interface=WAN dst-port=3128

1 chain=forward action=drop src-address=10.0.0.0/8 (ip da minha Lan correto?)

e meu nat


ip firewall nat p
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=10.0.0.0/8 out-interface=WAN

1 chain=dstnat action=redirect to-ports=3128 protocol=tcp in-interface=LAN
port=80

[Geeek]

Seria melhor vc levantar um serviço de hotspot no mikrotik, cadastrar os endereços de sites q eles terão acesso no ipbinding, dai vc altera a pagina de login do hotspot dizendo acesso nao permitido.
Ficaria muito melhor e quase infalivel de burlar.

[btamaral18]

Seria melhor vc levantar um serviço de hotspot no mikrotik, cadastrar os endereços de sites q eles terão acesso no ipbinding, dai vc altera a pagina de login do hotspot dizendo acesso nao permitido.
Ficaria muito melhor e quase infalivel de burlar.

E uma boa sim! Mas eu queria algo que eu deixa-se os dominio .org, .gov.br. Eu consegui com a ideia do Peterson, fiz a regra no webproxy mesmo por que no firewall nao rolou nao. Deve haver um jeito de liberar pelo dominio, por que no 2.9.27 tem la o filtro de palavras mas to usando a 3.30 ja tentei colocando no dst host mas nao funcionou. Se alguem souber como faz para eu deixar os dominios .org, .gov.br liberados para toda rede me da um toque. E outra coisa nao sei por que o rdp nao funciona. Eu tento conectar a um PC remoto e fica parado nao da erro nenhum. Alguem sabe o que pode esta bloqueando? To testando pra ve o que pode ser. Abracos!

[btamaral18]

Pra quem tiver a mesma duvida vai conseguir desta forma aqui:

Configurei a liberação dos dominios com esta regra no web proxy:

ip proxy add src-address=192.168.1.0/24 dst-host=:gov.br action=allow (aqui eu libero toda minha rede para acessar todos os sites gov.br)

ip proxy add src-address=192.168.1.10 action=allow (aqui eu libero os ip que vão ter acesso full a internet)

ip proxy add src-address=192.168.1.0/24 dst-host=rg action=allow (aqui eu libero toda minha rede para acessar todos os sites .org)

ip proxy add src-address=192.168.1.0/24 action=deny (aqui eu bloqueio toda minha rede para acessar sites)

So continuo com a conexao da area de trabalho remota sem funcionar no mk 3.30 no 3.22 funciona beleza sera que e algum bug? Estou correndo atrás de um solução, mas ate agora nada.
Obrigado pelas dicas companheiros..