Добрый день.
Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.37 stable.
Интернет-белый ip, внутренняя сеть 192.168.1.0/24,
публичный wifi 192.168.2.0/24.
Своя прокся на 192.168.1.181:8080, микротик 192.168.1.5.
Задача простая, но с заковыкой-сделать фильтрацию рекламы.
Программа минимум-по http.
Что не удалось сделать? Перенаправить http-трафик на внешний прокси,
минуя локальный прокси Микротика.
В локальный прокси с перенаправлением действует
(сейчас так и настроено - все в локальный прокси, а у него parent-внешняя прокся).
Правило:
/ip firewall nat
add action=redirect chain=dstnat comment="wifi_zavorot http na mikrotik-proxy" \
dst-address=!192.168.1.0/24 dst-port=80 \
src-address=192.168.2.0/24 \
to-ports=8080
Что попробовано:
в качестве действия правила
dst-nat на ip и порт прокси
netmap на ip и порт прокси
Странно, но при этих действиях правила в логах прокси не вижу никаких запросов извне.
Как сейчас действует?
Перенаправляю на внутренний прокси, а он шлет запросы внешнему прокси:
Ловим пакеты и запузыриваем их локальной проксе:
/ip firewall nat
add action=redirect chain=dstnat comment="wifi_zavorot http na mikrotik-proxy" \
dst-address=!192.168.1.0/24 dst-port=80 \
src-address=192.168.2.0/24 \
to-ports=8080
Встроенный прокси микротика перенаправляет запросы уже на внешний прокси:
/ip proxy
set anonymous=yes cache-on-disk=no enabled=yes \
max-cache-object-size=32KiB max-cache-size=32KiB parent-proxy=\
192.168.1.181 parent-proxy-port=8080 port=8080 serialize-connections=no \
src-address=::
Хочется избежать локальной прокси-сразу слать внешней.
Подскажите, что делаю не так? И как сделать, чтобы действовало?
(в глубины ната не погружен и впервой встречаюсь с его детальной настройкой).
Заранее благодарю за помощь.
mikrotik и фильтрация рекламы 1. Прозрачный прокси без прокси Микротика
-
dan_litvinov
- Сообщения: 7
- Зарегистрирован: 21 сен 2017, 18:31
- Откуда: SPb
---
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
-
maxim_minton
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
-
dan_litvinov
- Сообщения: 7
- Зарегистрирован: 21 сен 2017, 18:31
- Откуда: SPb
[quote="maxim_minton"]А такое Вам не пойдёт?
https://stopad.cgood.ru[/quote]
Благодарю - это уже вторая часть того, что сделано.
Правда, списки брал не у них, а у http://pgl.yoyo.org/adservers/serverlis ... =plaintext
Однако, жрет много памяти под кеш, поэтому и хочу обойтись без прокси-отключаю все возможное и ненужное.
В этой версии Микротика всего 32 мега, поэтому приходится бороться за каждый мегабайт.
Пока это все тестовая конструкция-при большой нагрузке или поменяю железяку на бОльшую
или, что скорее всего, ресурсоемкие задачи перенесу на виртуалку с микротиком-там памяти хоть заглонись.
Но про это будет вторая часть вопроса. Пока задача зарулить напрямую трафик, а что-то не получилось.
Думаю, что-то не дописал в натовых правилах-может, нужен какой обратный нат для принятия ответа или чего еще?
https://stopad.cgood.ru[/quote]
Благодарю - это уже вторая часть того, что сделано.
Правда, списки брал не у них, а у http://pgl.yoyo.org/adservers/serverlis ... =plaintext
Однако, жрет много памяти под кеш, поэтому и хочу обойтись без прокси-отключаю все возможное и ненужное.
В этой версии Микротика всего 32 мега, поэтому приходится бороться за каждый мегабайт.
Пока это все тестовая конструкция-при большой нагрузке или поменяю железяку на бОльшую
или, что скорее всего, ресурсоемкие задачи перенесу на виртуалку с микротиком-там памяти хоть заглонись.
Но про это будет вторая часть вопроса. Пока задача зарулить напрямую трафик, а что-то не получилось.
Думаю, что-то не дописал в натовых правилах-может, нужен какой обратный нат для принятия ответа или чего еще?
---
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Гыгыгы. Под копирку мои идею слизали, и даже не покраснели...
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
maxim_minton
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
Dragon_Knight писал(а):
Гыгыгы. Под копирку мои идею слизали, и даже не покраснели...
А где Ваша идея была представлена?
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
maxim_minton писал(а):А где Ваша идея была представлена?
viewtopic.php?f=13&t=6640 вот посмотрите, похоже?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Ну и ещё это: viewtopic.php?f=13&t=6639
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
maxim_minton
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
Похоже, вот ссылка на тему на хабре, с чего все и начиналось. Обратите внимание на дату публикации :)
https://habrahabr.ru/post/264001/
https://habrahabr.ru/post/264001/
-
dan_litvinov
- Сообщения: 7
- Зарегистрирован: 21 сен 2017, 18:31
- Откуда: SPb
[quote="Dragon_Knight"][quote="maxim_minton"]А такое Вам не пойдёт?
https://stopad.cgood.ru[/quote]
Гыгыгы. Под копирку мои идею слизали, и даже не покраснели...[/quote]
Идея хорошая и, как показала практика, действующая.
Вопрос только в странном поглощении памяти микротиком при таких операциях.
Слил с этого сайта весь список (чуть больше 45000 адресов),
залил все это дело в микротик в виртуалке.
Сначала выделил 128 мегов памяти-не закончив вливать на букву А,
скорость вливания упала до одного адреса в несколько секунд.
Загрузка проца - 100% (2,4GHz).
Подождал с час-то же самое.
Монитор ресурсов показывает свободной памяти около 5МБ.
Понял-такое уже было на железном малыше-микротике - кончилась память.
Перезагрузил, догнал памяти до 256 - влилось за несколько минут.
Однако, из 256 памяти осталось после заливки свободно около 80.
Перезагрузил виртуалку - также.
Получается, что для хранения такого количества dns-записей нужен неслабый микротик
с кучей памяти (уж очень он ее любит под это дело отдать).
Поэтому пока ограничился только кратким списком из своих хостов - для тех,
кто идет по https и, соответственно, минует проксю.
Однако, первоначальный вопрос про "не получилось зарулить трафик напрямую, минуя прокси Микротика" остался в силе.
Может, подскажет кто-буду благодарен.
https://stopad.cgood.ru[/quote]
Гыгыгы. Под копирку мои идею слизали, и даже не покраснели...[/quote]
Идея хорошая и, как показала практика, действующая.
Вопрос только в странном поглощении памяти микротиком при таких операциях.
Слил с этого сайта весь список (чуть больше 45000 адресов),
залил все это дело в микротик в виртуалке.
Сначала выделил 128 мегов памяти-не закончив вливать на букву А,
скорость вливания упала до одного адреса в несколько секунд.
Загрузка проца - 100% (2,4GHz).
Подождал с час-то же самое.
Монитор ресурсов показывает свободной памяти около 5МБ.
Понял-такое уже было на железном малыше-микротике - кончилась память.
Перезагрузил, догнал памяти до 256 - влилось за несколько минут.
Однако, из 256 памяти осталось после заливки свободно около 80.
Перезагрузил виртуалку - также.
Получается, что для хранения такого количества dns-записей нужен неслабый микротик
с кучей памяти (уж очень он ее любит под это дело отдать).
Поэтому пока ограничился только кратким списком из своих хостов - для тех,
кто идет по https и, соответственно, минует проксю.
Однако, первоначальный вопрос про "не получилось зарулить трафик напрямую, минуя прокси Микротика" остался в силе.
Может, подскажет кто-буду благодарен.
---
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
Домашний Mikrotik hAP mini (650MHz, 32MB RAM), ROS 6.38.7 bugfix.
Тестовая виртуалка с Микротиком (2,4GHz, 128MB RAM), ROS 6.38.7 stable.
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Всё версно. Что-бы DN сервер мог быстро обработать запрос, список доменов индексируется и производится бинарный поиск, от чего база данный доменов имеет огромную избыточность, но при этом и огромную скорость выборки.
Так что тут нужно соблюдать баланс.
Именно по этому мои списки, по ссылкам выше имеют отфильтрованные домены, т.е. реально существующие, которые резолвятся, а вышеописанный сайт имет процентов 40 мёртвых доменов.
Так что тут нужно соблюдать баланс.
Именно по этому мои списки, по ссылкам выше имеют отфильтрованные домены, т.е. реально существующие, которые резолвятся, а вышеописанный сайт имет процентов 40 мёртвых доменов.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.