Здравия всем.
В организации имеется 951g-2hnd, 10 пользователей часть из которых работают по wifi.
Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную), а так же пропускную способность канала некоторым пользователям ограничить. А также вести бы статистику кто куда сколько.
Посмотрев почитав понял что вроде как все эти задачи все стараются решать средствами proxy а не nat-ом.
Посмотрев описания кто как пишет адрес листы для proxy я так понял что там разрешается доступ в интернет только тем кто прописан в листах, но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.
Подскажите как что делать в какую сторону смотреть, NAT или Proxy ?
proxy или nat и главное как ?
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
nat ничего общего не имеет с вашими желаниями ограничить что либо кому либо. выбирать надо между firewall filter и proxy
Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную):
- тут либо proxy - удоство в том, что можно вводить доменное имя ресурса, и тем самым ограничивать. все минусы как у любого прокси - например нельзя блокировать https.
- либо filter firewall - нужно создать список адресов всех запрещенных сайтов по IP адресам, и ограничивать по нему доступ.
временное ограничение настраевается в закладке Extra
а так же пропускную способность канала некоторым пользователям ограничить.
- тут вам надо читать про Queues - simple или tree, все зависит от ващего желания разбираться, самое простое это Queues simple
А также вести бы статистику кто куда сколько.
- такой функционал не продусмотрен, так объем данных досточно большой получается, и на его обработку и хранение нужно большое количество ресурсов. но есть функционал експорта сетевой статистки по протоколу netflow v5, v9. и дальнейшая его обработка на строннем сервере. пример реализации тут: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html
но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.
- тут никто вам не мешает настроить политику таким образом, что есть список ваших постоянных пользователей, им вы там что то ограничиваете, а все остальным разрешаете все что угодно. функционал и гибкость routeros позволяет реализовать множество параллельных сценариев.
Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную):
- тут либо proxy - удоство в том, что можно вводить доменное имя ресурса, и тем самым ограничивать. все минусы как у любого прокси - например нельзя блокировать https.
- либо filter firewall - нужно создать список адресов всех запрещенных сайтов по IP адресам, и ограничивать по нему доступ.
временное ограничение настраевается в закладке Extra
а так же пропускную способность канала некоторым пользователям ограничить.
- тут вам надо читать про Queues - simple или tree, все зависит от ващего желания разбираться, самое простое это Queues simple
А также вести бы статистику кто куда сколько.
- такой функционал не продусмотрен, так объем данных досточно большой получается, и на его обработку и хранение нужно большое количество ресурсов. но есть функционал експорта сетевой статистки по протоколу netflow v5, v9. и дальнейшая его обработка на строннем сервере. пример реализации тут: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html
но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.
- тут никто вам не мешает настроить политику таким образом, что есть список ваших постоянных пользователей, им вы там что то ограничиваете, а все остальным разрешаете все что угодно. функционал и гибкость routeros позволяет реализовать множество параллельных сценариев.
-
vic
- Сообщения: 47
- Зарегистрирован: 12 мар 2013, 21:47
Спасибо за развернутый и даже очень ответ.
Поискал способы настройки микротика без использования Proxy и наткнулся на такой вот вариант ТЫЦ настройки блокировки контента фаерволом, но у меня при вводе такого правила выдает ошибку:
подскажите в чем загвоздка и как ее решить, потому что если ставить не reject а drop то сайт блокируется но долго очень браузер тупит как и описано на выше указанном мануале.
Поискал способы настройки микротика без использования Proxy и наткнулся на такой вот вариант ТЫЦ настройки блокировки контента фаерволом, но у меня при вводе такого правила выдает ошибку:
Код: Выделить всё
[admin@MikroTik] > ip firewall filter add chain=forward src-address=192.168.100.0/24 content=" Host: vk.com" action=reject reject-with=tcp-reset
failure: can do reject with tcp reset only on tcp protocol
подскажите в чем загвоздка и как ее решить, потому что если ставить не reject а drop то сайт блокируется но долго очень браузер тупит как и описано на выше указанном мануале.
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Код: Выделить всё
ip firewall filter add chain=forward src-address=192.168.100.0/24 protocol=tcp content="Host: vk.com" action=reject reject-with=tcp-resetВам же пишет, чтобы указали протокол)))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
vic
- Сообщения: 47
- Зарегистрирован: 12 мар 2013, 21:47
спасибо что подсказали, а то я с firewall на вы и уж тем более с тем как правильно писать то что он просит.
Завтра проверю как все работает )
Завтра проверю как все работает )
-
vic
- Сообщения: 47
- Зарегистрирован: 12 мар 2013, 21:47
В продолжение темы.
подскажите а можно как то писать парвила для фаервола с перечислением тоесть (vk.com, ya.ru) что бы в одно правило можно было указать несколько хостов.
пробовал использовать разные символы но что то не выходит, может как то все таки это можно сделать?
подскажите а можно как то писать парвила для фаервола с перечислением тоесть (vk.com, ya.ru) что бы в одно правило можно было указать несколько хостов.
пробовал использовать разные символы но что то не выходит, может как то все таки это можно сделать?
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Помоему нет, тут речь идет о куске содержимого пакета. Но тутречь вот о чем, хочу вас предупредить, когда я таким образом пытался реализовать очередную светлую мысль нашего правительства о реестре запрещенных сайтов. Не помню, сколько на тот момент их там было, но где то порядка 100-150. Так вот, например 1100анх2 не оценил такого количества и начал сильно тупить. Суть в том, что на такую проверкукаждого пролетающего пакета уходит очень много ресурсов. В вашем примере например он будет ловить содержммое в каждом tcp пакете, конкретизируйте хотя бы dst-port=80. Но опять же, зачем вы так ограничиваете. Если вы решили резать по доменному имени, то вам путь в proxy, т.к. потому что ваш вариант это как "по воробьям из пушки"
-
vic
- Сообщения: 47
- Зарегистрирован: 12 мар 2013, 21:47
спасибо, за совет, учту что это может сильно нагрузить жлезку.
Сделал такое ограничение по конкретному ip который припаркован в dhcp теперь еще и 80 порт укажу так что железка напрягаться перестанет )
возникла светлая мысль а что если просто зарезать весь серфинг кроме конкретных адресов, получается что 80 порт резать нельзя а нужно каким то условием, первое что пришло на ум это резать по точке "." ведь точка присутствует в любом доменном имени или адресе. апотом уже добавить правила с разрешенными хостами.
Или опять из пушки да по воробьям? ))
Сделал такое ограничение по конкретному ip который припаркован в dhcp теперь еще и 80 порт укажу так что железка напрягаться перестанет )
возникла светлая мысль а что если просто зарезать весь серфинг кроме конкретных адресов, получается что 80 порт резать нельзя а нужно каким то условием, первое что пришло на ум это резать по точке "." ведь точка присутствует в любом доменном имени или адресе. апотом уже добавить правила с разрешенными хостами.
Или опять из пушки да по воробьям? ))
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
в таких случаях обычно делают разрешающие правила, а потом в конце ставят запрещающие правила для всего трафика. вообще, ваше желание укладывается всего в два правила:
где allow_site это список адресов разрешенных сайтов который формируется через
а 1.1.1.1 можно например узнать через терминал windows командой:
вот как то так надо делать через firewall, в обоих ваших случаях.
и кстати, в случае с content получается все тот же proxy, только через firewall и по всей видимости более нагруженный, и со всеми теме же болячками proxy
Код: Выделить всё
ip firewall filter add chain=forward protocol=tcp dst-port=80 dst-address=allow_site action=allow
ip firewall filter add chain=forward protocol=tcp dst-port=80 action=dropгде allow_site это список адресов разрешенных сайтов который формируется через
Код: Выделить всё
ip firewall address-list add address=1.1.1.1 list=allow_siteа 1.1.1.1 можно например узнать через терминал windows командой:
Код: Выделить всё
nslookup ya.ruвот как то так надо делать через firewall, в обоих ваших случаях.
и кстати, в случае с content получается все тот же proxy, только через firewall и по всей видимости более нагруженный, и со всеми теме же болячками proxy