Bloqueio pelo Opendns + Active Directory no Mikrotik

[matrix554]

Boa tarde pessoal.
Sou novo no fórum.

Aqui na empresa usamos o Opendns para bloquear alguns sites, como redes sociais, 18+, etc.
Agora vamos adquirir um Mikrotik e configurar um AD.

Já sei que no DHCP do Mikrotik terei que colocar o DNS do Domain Controller e depois nele faço um forward para os DNS do Opendns.
Mas a questão é que não posso bloquear os sites do gerente, o acesso dele tem que ser livre, mas ele também precisa ter o IP do Domain Controller como DNS, senão não vai conectar no AD.

Pensei em capturar os pacotes da porta 53 que é o DNS no Mikrotik apenas do IP da máquina do gerente e redirecionar para outro DNS, tipo o do google por exemplo, isso é possível?
Tem alguma forma melhor de resolver esse problema?

Abs.

[AndrioPJ]

sobe o NXFilter ai.
Ficará bem melhor que usar o OpenDNS e ainda consegue integrar com o AD.

[matrix554]

Dei uma lida sobre e achei muito interessante esse NXFilter, eu nunca tinha ouvido falar.
Pelo que eu vi no site, ele é gratuito para até 20 usuários, é isso?

Meu maior problema agora é que a empresa é pequena, temos uns 15 usuários e somente um servidor que estará o AD e nesse servidor eu não poderia instalar o NXFilter porque ele já terá o DNS do domínio instalado.
Vou tentar conseguir algum micro velhinho, instalo o linux nele e rodo só o NXFilter nele. Se eu conseguir o micro, qual distribuição linux seria melhor eu usar?

Caso eu não consiga um micro para instalar o NXFilter, há alguma outra opção para eu fazer o que quero?

Muito obrigado pela ajuda

[Batmam]

Amigo cria uma address list com facebook.com - facebook.com.br e faço um drop pra essa lista, e cria também uma lista em src address list dos ips que vão ser liberados o acesso. Pronto isso vai bloquear para o restante que tentar acessar o Facebook

[avatar52]

Que solução hein?

[matrix554]

Perfeito pessoal, vou estudar essas opções.

Muito obrigado a todos.

[magnorm]

Vc pode fazer um regra usando nat e layer7 e redirecionar para seu Ad somente as solicitações do seu domínio. Passa seu domínio, range de IP da sua rede e IP do seu servidor Ad que posto as regras

[magnorm]

Outra coisa prefiro o Lumiun do que o nxfilter. 100% brasileira

[matrix554]

Vc pode fazer um regra usando nat e layer7 e redirecionar para seu Ad somente as solicitações do seu domínio. Passa seu domínio, range de IP da sua rede e IP do seu servidor Ad que posto as regras

Muito interessante essa opção.
Dominio: uniao.lan
Range IP: 192.168.88.0/24
IP Servidor: 192.168.88.254

Outra coisa prefiro o Lumiun do que o nxfilter. 100% brasileira

Obrigado pela recomendação, mas precisamos de uma solução gratuita.

[magnorm]

Desculpe a demora,
Segue prints do winbox e comandos utilizados

/ip firewall layer7-protocol
add name=DOMINIO_AD regexp=uniao.lan

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 layer7-protocol=DOMINIO_AD protocol=udp src-address=192.168.88.0/24 to-addresses=192.168.88.254

[magnorm]

Com essas regras independente de qual o dns que tiverem utilizando vao contactar o ad tranquilamente.

vc pode testar com o comando no prompt de comando nslookup uniao.lan

qualquer coisa estou a disposiçao

[matrix554]

Oloko cara, nem precisa se desculpar. Você foi de muito grande ajuda.

Muito obrigado.

[magnorm]

Depois posta se deu certo

[magnorm]

Temos um grupo no whatsapp se quiser participar segue link https://chat.whatsapp.com/FqnXwJf0XtrJ4WzMrsXBKj

[matrix554]

Valeu, muito obrigado.

O Mikrotik chegará essa semana, acredito que semana que vem eu já configurei e faço o teste.
Volto aqui falar se deu certo.

Agora vou começar a pesquisar Port Forwarding, temos um cliente externo que usa um sistema que envia os dados por uma porta para o mesmo sistema que está no nosso servidor.

[AndrioPJ]

Dei uma lida sobre e achei muito interessante esse NXFilter, eu nunca tinha ouvido falar.
Pelo que eu vi no site, ele é gratuito para até 20 usuários, é isso?

Meu maior problema agora é que a empresa é pequena, temos uns 15 usuários e somente um servidor que estará o AD e nesse servidor eu não poderia instalar o NXFilter porque ele já terá o DNS do domínio instalado.
Vou tentar conseguir algum micro velhinho, instalo o linux nele e rodo só o NXFilter nele. Se eu conseguir o micro, qual distribuição linux seria melhor eu usar?

Caso eu não consiga um micro para instalar o NXFilter, há alguma outra opção para eu fazer o que quero?

Muito obrigado pela ajuda

Qual a configuração desse servidor?
Dependendo, pode ser uma boa virtualizar ele.
Instala nele o VMWare Esxi ou Proxmox, e virtualiza o AD, e virtualiza o NXFilter.

Ou pode fazer conforme indicado pelo Batman ou pelo magnorm.
O único problema disso é que você terá que descobrir o IP de cada um deles e depois fazer uma regra no firewall bloqueando... OU usar layer7, o que irá consumir mais processamento da sua RB.
Sendo que o NXFilter já vem com mais de 1 bilhão de sites cadastrados e categorizados.

[matrix554]

Qual a configuração desse servidor?
Dependendo, pode ser uma boa virtualizar ele.
Instala nele o VMWare Esxi ou Proxmox, e virtualiza o AD, e virtualiza o NXFilter.

Ou pode fazer conforme indicado pelo Batman ou pelo magnorm.
O único problema disso é que você terá que descobrir o IP de cada um deles e depois fazer uma regra no firewall bloqueando... OU usar layer7, o que irá consumir mais processamento da sua RB.
Sendo que o NXFilter já vem com mais de 1 bilhão de sites cadastrados e categorizados.

Pensei seriamente nessa opção de virtualizar o servidor, a configuração dele é a seguinte:
Intel® Xeon® E3-1220 v6 de 3 GHz
8GB de memória
1TB de HD
2 portas ethernet de 1GbE

[AndrioPJ]

Pensei seriamente nessa opção de virtualizar o servidor, a configuração dele é a seguinte:
Intel® Xeon® E3-1220 v6 de 3 GHz
8GB de memória
1TB de HD
2 portas ethernet de 1GbE

dá para virtualizar até 2 sistemas tranquilamente ai.

[matrix554]

dá para virtualizar até 2 sistemas tranquilamente ai.

Pode me dar o caminho das pedras? rs
O VMWare Esxi é gratuito, mas depois nele tenho que instalar o vsphere que é pago pra rodar, é isso?
Esse proxmox nunca ouvi falar.

O patrão não vai querer gastar com isso, rs.

[avatar52]

VMware ESXi 6 já é free.