proxy или nat и главное как ?

Обсуждение оборудования и его настройки
Ответить
vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

Здравия всем.

В организации имеется 951g-2hnd, 10 пользователей часть из которых работают по wifi.

Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную), а так же пропускную способность канала некоторым пользователям ограничить. А также вести бы статистику кто куда сколько.

Посмотрев почитав понял что вроде как все эти задачи все стараются решать средствами proxy а не nat-ом.
Посмотрев описания кто как пишет адрес листы для proxy я так понял что там разрешается доступ в интернет только тем кто прописан в листах, но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.

Подскажите как что делать в какую сторону смотреть, NAT или Proxy ?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

nat ничего общего не имеет с вашими желаниями ограничить что либо кому либо. выбирать надо между firewall filter и proxy

Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную):
- тут либо proxy - удоство в том, что можно вводить доменное имя ресурса, и тем самым ограничивать. все минусы как у любого прокси - например нельзя блокировать https.
- либо filter firewall - нужно создать список адресов всех запрещенных сайтов по IP адресам, и ограничивать по нему доступ.
временное ограничение настраевается в закладке Extra

а так же пропускную способность канала некоторым пользователям ограничить.
- тут вам надо читать про Queues - simple или tree, все зависит от ващего желания разбираться, самое простое это Queues simple

А также вести бы статистику кто куда сколько.
- такой функционал не продусмотрен, так объем данных досточно большой получается, и на его обработку и хранение нужно большое количество ресурсов. но есть функционал експорта сетевой статистки по протоколу netflow v5, v9. и дальнейшая его обработка на строннем сервере. пример реализации тут: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html

но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.
- тут никто вам не мешает настроить политику таким образом, что есть список ваших постоянных пользователей, им вы там что то ограничиваете, а все остальным разрешаете все что угодно. функционал и гибкость routeros позволяет реализовать множество параллельных сценариев.


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

Спасибо за развернутый и даже очень ответ.

Поискал способы настройки микротика без использования Proxy и наткнулся на такой вот вариант ТЫЦ настройки блокировки контента фаерволом, но у меня при вводе такого правила выдает ошибку:

Код: Выделить всё

[admin@MikroTik] > ip firewall filter add chain=forward src-address=192.168.100.0/24 content=" Host: vk.com" action=reject reject-with=tcp-reset         
failure: can do reject with tcp reset only on tcp protocol

подскажите в чем загвоздка и как ее решить, потому что если ставить не reject а drop то сайт блокируется но долго очень браузер тупит как и описано на выше указанном мануале.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

ip firewall filter add chain=forward src-address=192.168.100.0/24 protocol=tcp content="Host: vk.com" action=reject reject-with=tcp-reset

Вам же пишет, чтобы указали протокол)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

спасибо что подсказали, а то я с firewall на вы и уж тем более с тем как правильно писать то что он просит.
Завтра проверю как все работает )


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

В продолжение темы.

подскажите а можно как то писать парвила для фаервола с перечислением тоесть (vk.com, ya.ru) что бы в одно правило можно было указать несколько хостов.

пробовал использовать разные символы но что то не выходит, может как то все таки это можно сделать?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Помоему нет, тут речь идет о куске содержимого пакета. Но тутречь вот о чем, хочу вас предупредить, когда я таким образом пытался реализовать очередную светлую мысль нашего правительства о реестре запрещенных сайтов. Не помню, сколько на тот момент их там было, но где то порядка 100-150. Так вот, например 1100анх2 не оценил такого количества и начал сильно тупить. Суть в том, что на такую проверкукаждого пролетающего пакета уходит очень много ресурсов. В вашем примере например он будет ловить содержммое в каждом tcp пакете, конкретизируйте хотя бы dst-port=80. Но опять же, зачем вы так ограничиваете. Если вы решили резать по доменному имени, то вам путь в proxy, т.к. потому что ваш вариант это как "по воробьям из пушки"


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

спасибо, за совет, учту что это может сильно нагрузить жлезку.
Сделал такое ограничение по конкретному ip который припаркован в dhcp теперь еще и 80 порт укажу так что железка напрягаться перестанет )

возникла светлая мысль а что если просто зарезать весь серфинг кроме конкретных адресов, получается что 80 порт резать нельзя а нужно каким то условием, первое что пришло на ум это резать по точке "." ведь точка присутствует в любом доменном имени или адресе. апотом уже добавить правила с разрешенными хостами.

Или опять из пушки да по воробьям? ))


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

в таких случаях обычно делают разрешающие правила, а потом в конце ставят запрещающие правила для всего трафика. вообще, ваше желание укладывается всего в два правила:

Код: Выделить всё

ip firewall filter add chain=forward protocol=tcp dst-port=80 dst-address=allow_site action=allow
ip firewall filter add chain=forward protocol=tcp dst-port=80 action=drop

где allow_site это список адресов разрешенных сайтов который формируется через

Код: Выделить всё

ip firewall address-list add address=1.1.1.1 list=allow_site

а 1.1.1.1 можно например узнать через терминал windows командой:

Код: Выделить всё

nslookup ya.ru

вот как то так надо делать через firewall, в обоих ваших случаях.
и кстати, в случае с content получается все тот же proxy, только через firewall и по всей видимости более нагруженный, и со всеми теме же болячками proxy


Ответить