Web proxy Mikrotik V3.XX com controle de acesso

Este artigo ensina a configuração básica de um bom controle de acesso a internet, que pode ser configurado de dois modos, o primeiro libera toda internet aos clientes do servidor e bloqueia um lista definida, o segundo e preferido por mim, é de liberar uma lista de sites para acesso aos clientes do servidor e bloqueando todo o resto.

[ Hits: 189.559 ]

Por: André A. Ferreira em 11/07/2008


Passos iniciais



A partir de agora temos um servidor Mikrotik com web-proxy configurado de forma liberal, ou seja, sem nenhuma restrição para acesso a internet, também não importa muito se o seu web-proxy é totalmente Mikrotik ou se funciona em paralelo, se você ainda não tem um web-proxy configurado, aconselho esta leitura antes de continuar lendo este artigo:
Vamos trabalhar com a classe 192.168.0.0/24 sendo a classe de clientes, que servirá como exemplo para todo o artigo.

Abaixo você verá uma figura que demonstra qual cenário queremos obter com as restrições.

Topologia e as opções de permissão

Na figura abaixo vemos a topologia da situação.


Figura 1


Temos nessa situação, duas opções:

PRIMEIRA:

Liberamos toda a internet e fazemos o bloqueio somente de alguns sites, desta forma os clientes não terão acesso somente aos sites indicados, uma espécie de blacklist.

SEGUNDA:

Liberamos alguns sites necessários para os clientes deste servidor, uma espécie de whitelist e bloqueamos todo o restante da internet, este é o meu preferido pelo nível de segurança proporcionado, normalmente necessário em empresas.

Na página seguinte teremos as configurações necessárias para a identificação de sites por ip.

    Próxima página

Páginas do artigo
   1. Passos iniciais
   2. Identificando sites por ip
   3. Configurações para blacklist (parte 1)
   4. Configurações para blacklist (parte 2)
   5. Configurações para whitelist (parte 1)
   6. Configurações para whitelist (parte 2)
   7. Controlando clientes individualmente
   8. Considerações finais
Outros artigos deste autor

Proxy em paralelo com o mikrotik

Leitura recomendada

Monitorando No-Break no Ubuntu 12.04

A pós-instalação do Arch Linux

Exherbo Linux: sacrificando a cabra

Instalação e configuração do Apache 2 no Debian 9.3

Certificação Eletrônica no Linux para PJe - Relato de minha experiência como advogado

  
Comentários
[1] Comentário enviado por grandmaster em 11/07/2008 - 21:21h

Simples. Bom para quem quer começar.

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[2] Comentário enviado por Andre_A_Ferreira em 11/07/2008 - 22:49h

Olá grandmaster,

Obrigado pelo comentário.

sds
André

[3] Comentário enviado por x em 13/07/2008 - 01:48h

Bacana o Artigo André !
muito legal !

[4] Comentário enviado por Andre_A_Ferreira em 13/07/2008 - 11:34h

Olá x. (rafael).

Obrigado.


sds
André

[5] Comentário enviado por adrianoturbo em 13/07/2008 - 20:47h

Muito bom,mas ainda prefiro o velho Squid aliado ao Mikrotik pra fazer controle de banda.

[6] Comentário enviado por Andre_A_Ferreira em 13/07/2008 - 21:03h

Olá adrianoturbo,

Claro que o bom e velho squid tem suas vantagens, dentre elas a possibilidade de agregar diversos sistemas que complementam funções, tipo monitoramento por paginas http, logs bem elaborados e não somente por um .txt como no mikrotik, mas vejo também algumas vantagens no quesito segurança deste artigo em relação ao squid instalado em linux.
Lembrando que o mikrotik na verdade usa o squid, não com tantas possibilidades de personalização como em um linux, mas usa.
Mas, no final das contas isso vai depender muito da utilização (ambiente de produção).
Obrigado pelo comentario.

sds
André.

[7] Comentário enviado por fasseabra em 02/09/2008 - 19:24h

Amigo - tenho um cenário parecido, gostaria de um help!
3 Link => Ubuntu Server configurado o Squid => Mikrotik (controle de clientes) já config. cache full => APs.
O HD de meu MK ja esta funcionando o Cache Full - Gostaria que funciona-se tb como cache full o que vem do meu server Ubuntu. Ele faz cache mas não vem full.
Será q o amigo poderia me auxiliar?

[8] Comentário enviado por Andre_A_Ferreira em 04/09/2008 - 09:09h

Olá fasseabra,

O seu meio de conexão com clientes é rede sem fios?

sds
André

[9] Comentário enviado por carlosdias98 em 25/09/2008 - 22:50h

Amigo, excelente artigo ! Só faltou comentar alguns outros tipos de bloqueios do proxy, sem ser pelo ip. No caso somente adicionando a *uol* no campo Dst Host, que já barraria tudo referente a uol. Mas esta 10. Olha e parabéns pelo seu artigo falando sobre o mk c/ proxy paralelo.

Abraços !

[10] Comentário enviado por Andre_A_Ferreira em 26/09/2008 - 07:17h

Olá carlosdias98,

Mas a intenção é exatamente fazer pelo caminho mais dificil, fazendo a pessoa pensar como deve fazer no caso especifico da rede que possui.
Mas fica a sua dica, obrigado pelo comentário.

sds
André.


[11] Comentário enviado por removido em 24/10/2008 - 20:49h

Olá, sou iniciante aqui,
eu estou com um servidor mikrotik quase montado,
quero conf, com autencicação pppoe, olha vou ser bem direito no problema ...
criei uma conexão no eu windows xp, e qnd vou me conectar com user e senhar normal
recebo uma mensagem assim ...

''verificando conexão de protocolo de rede
TCP/IP cp reportou erro 738: O servidor não associcou um endereço.''

imagino que o cliente ( eu-minha maquina ) está pedindo um ip, mais a questão é ..
como eu config isto !?
será q você poderia me dá uma dica?!!?
agradeço mto.
abraço

[12] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:21h

Olá pgdc,

Voce tem que cadastrar um range de ips no IP > ADRRESS, depois em PPPOE, na aba SECRETS, no usuario que voce criou, tem dois campos, um LOCAL ADDRESS voce indica o ip do seu servidor mk, e o outro o ip que será usado neste cliente.

sds
André.


[13] Comentário enviado por moisestecnico em 17/03/2009 - 15:35h

Olá ... não tive muito sucesso com as sua explicação, mas vamos lá.

Quero fazer da seguinte maneira tenho um provedor e uso o servidor mikrotik 2.9.
Quero fazer da seguinte maneira, quando eu tiver um cliente inadimplente bloquear ele para não navegar em site nenhum, e quando ele for navegar direcionar ele para algum site que pode estar assim (Internet Bloqueada, entre em contato com o provedor), por exemplo vou criar um site que tenha esta resposta. este modelo e como as grande empresas fazem por exemplo a (GVT) que é uma empresa de telofonia, vc consegue pingar em qualquer site mas não consegue navegar sempre vem um pagina de bloqueio, como faço isto? tem alguma ideia? ajuda-me.
A minha configuração tá da seguinte maneira, cada cliente tem um Ip especifico, o ip do cliente está amarrado ao MAC dele.
O meu servidor controla tudo.
Quem poder me ajudar fico grato.

Aguardo resposta.

moisestecnico@hotmail.com <------- e-mail e MSN

[14] Comentário enviado por Andre_A_Ferreira em 07/04/2009 - 18:22h

Olá moisestecnico,

Bom isso que voce quer fazer é serviço para um sistema de autenticação e não para um proxy, tente usar hotspot configurando profiles de bloqueio com a opção "advertise".


sds
André.

[15] Comentário enviado por Fabio F em 15/05/2009 - 17:37h

Parabéns pelo artigo !!! Ajudou muito.
Gostaria de saber se existe uma maneira rápida para "importar" uma lista de bloqueios (palavras a serem bloqueadas).
Tenho a lista do meu squid, e queria usar a mesma, existe essa possibilidade?

Abraço.

[16] Comentário enviado por lacierdias em 26/06/2009 - 17:32h

Parabéns pelo artigo !!!

[17] Comentário enviado por moisestecnico em 16/09/2009 - 12:22h

Andre_A_Ferreira

Meu servidor e configurado também com o IP amarrado ao MAC e Hotspot, e o gerenciamento da pagina estou fazendo atravéz do DST-NAT, mas quando direciono a pagina ao meu IP ele mostra a pagina principal do MK....
Através do FILEZILA enviei a pasta de Aviso para dentro do MK.
vc sabe me dizer como vou direcionar o cliente para a pasta de BLOQUEIO.

Grato

[18] Comentário enviado por moisestecnico em 16/09/2009 - 13:25h

Andre_A_Ferreira
entendir o que vc quiz dizer com "advertise".
mas está opção o cliente vai visualizar a pagina como se foce uma publicidade, e depois retornará a pagina da internet normalmente.
Mas o que quero e que toda vez que ele entrar o servidor vai levar ele somente para pagina de aviso bloqueando a entrada na internet.
da mesma forma que o DST-NAT faz, mas não estou conseguindo direcionar ele para a pagina de Bloqueio.
se poder dar uma dica, grato.

[19] Comentário enviado por moisestecnico em 22/09/2009 - 13:21h

Ok.... Gostaria de dizer que o problema que estava com ele, está resolvido.
Agora estou estudando para implantar DDNS no meu MK.
Quem tiver uma dica, me envie por favor.

Grato.

[20] Comentário enviado por lindonjonsom em 18/03/2010 - 22:05h

olá amigo esta ótimo esse seu artig.
gostaria de saber como faça para acessa meu mikrotik!!
pois já fiz de td é não conseguie ainda, sera que vc poderia me ajuda!!!
agradeço.
até mais...

[21] Comentário enviado por cattaicowboy em 29/10/2010 - 09:47h

ola andre estou precisando de um firewall para controlar o acesso aki na minha empresa e gostaria de saber se voce pode me ajudar, porque sou iniciante no linux.
grato e aguardo resposta

[22] Comentário enviado por cassioupa em 24/01/2012 - 11:37h

Todo site tem q por o ip? nao da pra por a url?

[23] Comentário enviado por fabricioasg3 em 10/11/2015 - 22:12h


Neste caso o mikrotik também bloqueia Https? Sites como facebook,etc?


Contribuir com comentário