Russian Users MikroTik | Форум пользователей MikroTik

Здравия всем.

В организации имеется 951g-2hnd, 10 пользователей часть из которых работают по wifi.

Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную), а так же пропускную способность канала некоторым пользователям ограничить. А также вести бы статистику кто куда сколько.

Посмотрев почитав понял что вроде как все эти задачи все стараются решать средствами proxy а не nat-ом.
Посмотрев описания кто как пишет адрес листы для proxy я так понял что там разрешается доступ в интернет только тем кто прописан в листах, но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.

Подскажите как что делать в какую сторону смотреть, NAT или Proxy ?

nat ничего общего не имеет с вашими желаниями ограничить что либо кому либо. выбирать надо между firewall filter и proxy

Есть желание сделать ограничения на посещаемые ресурсы в интернете (желательно полную блокировку и по временную):
- тут либо proxy - удоство в том, что можно вводить доменное имя ресурса, и тем самым ограничивать. все минусы как у любого прокси - например нельзя блокировать https.
- либо filter firewall - нужно создать список адресов всех запрещенных сайтов по IP адресам, и ограничивать по нему доступ.
временное ограничение настраевается в закладке Extra

а так же пропускную способность канала некоторым пользователям ограничить.
- тут вам надо читать про Queues - simple или tree, все зависит от ващего желания разбираться, самое простое это Queues simple

А также вести бы статистику кто куда сколько.
- такой функционал не продусмотрен, так объем данных досточно большой получается, и на его обработку и хранение нужно большое количество ресурсов. но есть функционал експорта сетевой статистки по протоколу netflow v5, v9. и дальнейшая его обработка на строннем сервере. пример реализации тут: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html

но у меня бывает часто появляются сторонние пользователи которых каждый раз вносить смысла нет, но интернет им нужен.
- тут никто вам не мешает настроить политику таким образом, что есть список ваших постоянных пользователей, им вы там что то ограничиваете, а все остальным разрешаете все что угодно. функционал и гибкость routeros позволяет реализовать множество параллельных сценариев.

Спасибо за развернутый и даже очень ответ.

Поискал способы настройки микротика без использования Proxy и наткнулся на такой вот вариант ТЫЦ настройки блокировки контента фаерволом, но у меня при вводе такого правила выдает ошибку:


подскажите в чем загвоздка и как ее решить, потому что если ставить не reject а drop то сайт блокируется но долго очень браузер тупит как и описано на выше указанном мануале.

Вам же пишет, чтобы указали протокол)))

спасибо что подсказали, а то я с firewall на вы и уж тем более с тем как правильно писать то что он просит.
Завтра проверю как все работает )

В продолжение темы.

подскажите а можно как то писать парвила для фаервола с перечислением тоесть (vk.com, ya.ru) что бы в одно правило можно было указать несколько хостов.

пробовал использовать разные символы но что то не выходит, может как то все таки это можно сделать?

Помоему нет, тут речь идет о куске содержимого пакета. Но тутречь вот о чем, хочу вас предупредить, когда я таким образом пытался реализовать очередную светлую мысль нашего правительства о реестре запрещенных сайтов. Не помню, сколько на тот момент их там было, но где то порядка 100-150. Так вот, например 1100анх2 не оценил такого количества и начал сильно тупить. Суть в том, что на такую проверкукаждого пролетающего пакета уходит очень много ресурсов. В вашем примере например он будет ловить содержммое в каждом tcp пакете, конкретизируйте хотя бы dst-port=80. Но опять же, зачем вы так ограничиваете. Если вы решили резать по доменному имени, то вам путь в proxy, т.к. потому что ваш вариант это как "по воробьям из пушки"

спасибо, за совет, учту что это может сильно нагрузить жлезку.
Сделал такое ограничение по конкретному ip который припаркован в dhcp теперь еще и 80 порт укажу так что железка напрягаться перестанет )

возникла светлая мысль а что если просто зарезать весь серфинг кроме конкретных адресов, получается что 80 порт резать нельзя а нужно каким то условием, первое что пришло на ум это резать по точке "." ведь точка присутствует в любом доменном имени или адресе. апотом уже добавить правила с разрешенными хостами.

Или опять из пушки да по воробьям? ))

в таких случаях обычно делают разрешающие правила, а потом в конце ставят запрещающие правила для всего трафика. вообще, ваше желание укладывается всего в два правила:


где allow_site это список адресов разрешенных сайтов который формируется через

а 1.1.1.1 можно например узнать через терминал windows командой:

вот как то так надо делать через firewall, в обоих ваших случаях.
и кстати, в случае с content получается все тот же proxy, только через firewall и по всей видимости более нагруженный, и со всеми теме же болячками proxy