среда, 11 июня 2014 г.

MikroTik. Web-Proxy. Контроль доступа к Интернет ресурсам.

Доброе время суток.

Если вы используете у себя в сети Proxy сервер организованный на Микротике, то вы можете контролировать доступ пользователей в Интернет.

Допустим что бы запретить доступ к определённому сайту (например www.google.ru) вам необходимо перейти в IP-Web Proxy и справа нажать на кнопку Access.



В открывшемся окне Access нажимаем на плюс и в поле Dst. Host: вводим значение *google.ru* и в поле Action: выбираем Deny.



Аналогичным способом можно заблокировать скачивание файлов с различными расширениями, будь то *.mp3, *.avi или *.txt.
Для примера запретим скачивание *.mp3. Нажимаем на плюс и в поле Path: вводим значение *.mp3 и в поле Action: выбираем Deny.




Так же можно блокировать доступ к сайтам по содержанию символов в адресной строке. Допустим мы не хотим что бы пользователи имели доступ к почтовым сервисам в интернете и пользовались корпоративной почтой (может у вас в организации есть свой Exchange сервер).
Для этого нажимаем на плюс и в поле Dst. Host: вводим значение :mail и в поле Action: выбираем Deny. 




Теперь если в адресной строке браузера будет содержаться последовательные символы mail то proxy сервер заблокирует доступ к такому ресурсу.
Также таким способом можно блокировать доступ к порносайтам.

Такой метод требует кропотливого введения большого количества информации в Access List, по этому для особо ленивых выложу export своего листа. Там заблокировано большинство не нужных для работы ресурсов. Конечно, что блокировать сугубо лично дело каждого, но если кому-то подходит, то пользуйтесь на здоровье.


/ip proxy access
add action=deny dst-host=:mail
add action=deny dst-host=:porno
add action=deny dst-host=:porn
add action=deny dst-host=:xxx
add action=deny dst-host=:sex
add action=deny dst-host=:fuck
add action=deny dst-host=*odnoklassniki.ru*
add action=deny dst-host=*vk.com*
add action=deny dst-host=*zaycev.net*
add action=deny dst-host=*muzoff.ru*
add action=deny dst-host=*mail.ru*
add action=deny dst-host=*youtube.com*
add action=deny dst-host=*livejournal.com*
add action=deny dst-host=*narod.ru*
add action=deny dst-host=*liveinternet.ru*
add action=deny dst-host=*ucoz.ru*
add action=deny dst-host=*rbc.ru*
add action=deny dst-host=*yahoo.com*
add action=deny dst-host=*blogger.com*
add action=deny dst-host=*rutracker.org*
add action=deny dst-host=*facebook.com*
add action=deny dst-host=*letitbit.net*
add action=deny dst-host=*depositfiles.com*
add action=deny dst-host=*radikal.ru*
add action=deny dst-host=*marketgid.com*
add action=deny dst-host=*torrents.ru*
add action=deny dst-host=*lenta.ru*
add action=deny dst-host=*advmaker.ru*
add action=deny dst-host=*qip.ru*
add action=deny dst-host=*partypoker.com*
add action=deny dst-host=*rapidshare.com*
add action=deny dst-host=*diary.ru*
add action=deny dst-host=*twitter.com*
add action=deny dst-host=*fishki.net*
add action=deny dst-host=*ifolder.ru*
add action=deny dst-host=*tfile.ru*
add action=deny dst-host=*rutube.ru*
add action=deny dst-host=*flipflapflo.info*
add action=deny dst-host=*icq.com*
add action=deny dst-host=*kinozal.tv*
add action=deny dst-host=*pornolab.net*
add action=deny dst-host=*loveplanet.ru*
add action=deny dst-host=*mamba.ru*
add action=deny dst-host=*travian.ru*
add action=deny dst-host=*flickr.com*
add action=deny dst-host=*fastpic.ru*
add action=deny dst-host=*nnm.ru*
add action=deny dst-host=*picmir.nu*
add action=deny dst-host=*rutrah.net*
add action=deny dst-host=*zetkino.net*
add action=deny dst-host=*suero.tv*
add action=deny dst-host=*pizdogon.com*
add action=deny dst-host=*xnxx.com*
add action=deny path=*.exe
add action=deny path=*.mp3
add action=deny path=*.zip
add action=deny path=*.rar
add action=deny path=*.avi
add action=deny path=*.torrent
add action=deny comment="RADIO http://93.170.4.85" dst-address=93.170.4.85

понедельник, 9 июня 2014 г.

MikroTik. Безопасность при использовании Web Proxy.


Доброе время суток.
Все мы знаем как настроить на Микротике Web Proxy для контроля доступа пользователей в Internet. А для тех кто не знает, вот вам ссылочка1,  ссылочка2 на подробную настройку.

Если WAN интерфейс у вас без белого IP адреса то на этом настройка вашего Микротика закончена. Но если есть белый IP адрес, то при включении Web Proxy с стандартными настройками, ваш прокси становиться доступен для всех в интернете :)
Если не верите, то попробуйте вбить в настройках вашего браузера в качестве proxy сервера белый IP адрес своего роутера на котором включен Web Proxy, указать порт 8080 (если не меняли на иной, если меняли, то укажите тот на который поменяли) и поставьте галочку использовать Proxy. После обновления страницы или перехода на Google вы убедитесь, что страница несомненно подгрузится.

Как же закрыть доступ из внешки? Легко и просто...

Конечно же можно просто дропнуть весь трафик по порту 8080 который приходит на WAN интерфейс вашего роутера вот таким правилом:

/ip firewall filteradd action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp

где,  ether1-wan интерфейс.

Но мы пойдём другим путём, более сложным но более информативным. Мы добавим все IP адреса с которых приходили пакеты на порт 8080 нашего с вами WAN интерфейса в Address Lists с названием "input traffic or 8080 port Proxy" (указать можно любое желаемое имя Address Lists) на 4 часа:

 /ip firewall filteradd action=add-src-to-address-list address-list="input traffic or 8080 port Proxy" address-list-timeout=4h chain=\    input comment="ban input to port 8080" dst-port=\    8080 in-interface=ether1 protocol=tcp



Далее всё что записалось в наш Address Lists дропаем по порту 8080:

/ip firewall filteradd action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp src-address-list=\    "input traffic or 8080 port Proxy"


В итоге у нас получиться вот так:

Таким образом мы закрыли доступ к нашему Proxy серверу для не добросовестных лиц из интернета.