понедельник, 9 июня 2014 г.

MikroTik. Безопасность при использовании Web Proxy.


Доброе время суток.
Все мы знаем как настроить на Микротике Web Proxy для контроля доступа пользователей в Internet. А для тех кто не знает, вот вам ссылочка1,  ссылочка2 на подробную настройку.

Если WAN интерфейс у вас без белого IP адреса то на этом настройка вашего Микротика закончена. Но если есть белый IP адрес, то при включении Web Proxy с стандартными настройками, ваш прокси становиться доступен для всех в интернете :)
Если не верите, то попробуйте вбить в настройках вашего браузера в качестве proxy сервера белый IP адрес своего роутера на котором включен Web Proxy, указать порт 8080 (если не меняли на иной, если меняли, то укажите тот на который поменяли) и поставьте галочку использовать Proxy. После обновления страницы или перехода на Google вы убедитесь, что страница несомненно подгрузится.

Как же закрыть доступ из внешки? Легко и просто...

Конечно же можно просто дропнуть весь трафик по порту 8080 который приходит на WAN интерфейс вашего роутера вот таким правилом:

/ip firewall filteradd action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp

где,  ether1-wan интерфейс.

Но мы пойдём другим путём, более сложным но более информативным. Мы добавим все IP адреса с которых приходили пакеты на порт 8080 нашего с вами WAN интерфейса в Address Lists с названием "input traffic or 8080 port Proxy" (указать можно любое желаемое имя Address Lists) на 4 часа:

 /ip firewall filteradd action=add-src-to-address-list address-list="input traffic or 8080 port Proxy" address-list-timeout=4h chain=\    input comment="ban input to port 8080" dst-port=\    8080 in-interface=ether1 protocol=tcp



Далее всё что записалось в наш Address Lists дропаем по порту 8080:

/ip firewall filteradd action=drop chain=input dst-port=8080 in-interface=ether1 protocol=tcp src-address-list=\    "input traffic or 8080 port Proxy"


В итоге у нас получиться вот так:

Таким образом мы закрыли доступ к нашему Proxy серверу для не добросовестных лиц из интернета.