fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 6487878, +375 (29) 7733778, +375 (25) 9997887

Прозрачный Proxy-сервер с помощью MikroTik

опубликовал от 08 Август, 2015

В маршрутизаторы MikroTik встроен web-proxy, который можно использовать в режиме транспарентного прокси. Транспарентный - прозрачный для пользоватей прокси. Клиенты считают, что берут интернет с маршрутизатора используя NAT, но на деле все запросы к серверам до 80 порта переадресовываются на прокси MikroTik. Во первых как включается сам Web-proxy на MikroTik?. Во вторых как его можно использовать для ограничения доступа пользоватей к определённым сайтам? На эти вопросы ответит краткая статья по настройке Proxy на MikroTik

Добавляется правило переадресующее запросы пользователей в ip/firewall/NAT Например для сети 10.0.0.0/24 оно выглядит так:

 

Можно использовать следующие комманды для терминала:

/ip firewall nat
add action=redirect chain=dstnat dst-port=80 protocol=tcp src-address=10.0.0.0/24 to-ports=8080

Активируем сам прокси. По умолчанию он работает на порту 8080. Идём в IP/Firrewall/Web Proxy и ставим галочку Enable

Комманда для терминала выглядит так:

/ip proxy
set cache-path=web-proxy1 enabled=yes max-cache-size=none parent-proxy=0.0.0.0

Теперь можно запрещать в настройках прокси-сервера доступ к узлам по url. Нажмём кнопочку Access и добавим например запрещающие правила на социальные сети и новостные сайты:

Правило будет переадресовывать пользователя обращающегося к www.tut.by  на mail.tut.by

Правила фильтрации для терминала:

/ip proxy access
add action=deny dst-host=www.vk.com redirect-to=192.168.0.254
add action=deny dst-host=vk.com redirect-to=192.168.0.254
add action=deny dst-host=vkontakte.ru redirect-to=192.168.0.254
add action=deny dst-host=mamba.ru redirect-to=192.168.0.254
add action=deny dst-host=www.mamba.ru redirect-to=192.168.0.254
add action=deny dst-host=vkontakte.com redirect-to=192.168.0.254
add action=deny dst-host=www.vkontakte.com redirect-to=192.168.0.254
add action=deny dst-host=www.vkontakte.ru redirect-to=192.168.0.254
add action=deny disabled=yes dst-host=facebook.com redirect-to=192.168.0.254
add action=deny disabled=yes dst-host=www.facebook.com redirect-to=192.168.0.254
add action=deny dst-host=tut.by redirect-to=mail.tut.by
add action=deny dst-host=www.tut.by redirect-to=mail.tut.by
add action=deny disabled=yes dst-host=www.facebook.com redirect-to=192.168.0.254

Переадресация на 192.168.0.254 сделана не случайно - это сам MikroTik. Вместо этого рекомендуем сделать страничку на собственном Web сервере для указания того, что пользователям запрещён доступ к данному ресурсу.... Позволит уменьшить количество звонков на ваш мобильный.

В качестве дополнительной защиты рекомендуем с помощью DHCP раздать пользователям DNS сервера Yandex. Сервис позволяет ограничить доступ к сайтам со взрослым контентом и вирусами.

Прочитано 123348 раз Последнее изменение Воскресенье, 11 Август 2019 22:13
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by/about/55-kardash-aliaksandr-vladimirovich

Другие материалы с нашего сайта:

4 Комментарии

  • Михаил

    Здравствуйте. Подскажите пожалуйста, как сделать так, что бы при срабатывании правила DROP в / ip firewall filter этот IP перебрасывало на /ip firewall nat а тот в свою очередь перебрасывал на /ip proxy на котором лежит файл error.html и демонстрируется тому на чей IP сработало правило DROP в / ip firewall filter

    Ответ: Подобные инструкции есть уже в интернете... Ищите через Яндекс...

    Михаил   Четверг, 21 Декабрь 2017 15:47
  • Harry

    Здравствуйте! Есть задача организовать прокси-сервер на PPPoE интерфейсе с постоянным IP от провайдера с доступом из интернета к локальному хосту не по 80 порту.
    Возможно ли это на микротике ?

    Ответ: Что-то подобное можно сделать.

    Harry   Понедельник, 12 Июнь 2017 17:10
  • Александр

    К сожалению, этот способ заблокировать доступ к сайтам не работает для протокола https (443 порт).

    Ответ: Так и есть...

    Александр   Пятница, 14 Апрель 2017 16:12
  • Евгений

    Скажите пожалуйста как сделать массовое объявление пользователям через прокси сервер, например "Оплатите интернет", что бы кто увидел его, больше на него не попадали"

    Ответ:Такую статью я писать в ближайшее время не планирую

    Евгений   Четверг, 23 Март 2017 12:07

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Комментарии к статьям:

  • Амина Написал Амина Август 25, 2019 Вот на этом ролторе написано зади логин и пароль Просто я скачала приложение и ьам…
  • Кардаш Александр Владимирович Написал Август 23, 2019 Новая моя статья с замашкой на звание хита по настройке MikroTik!
  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
 rss  vk groupe

 

Нравится ли вам наш блог?

Услуги по удалённой настройке MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промзвязь в Минске
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3


Появилась первая информация о процессорах AMD Ryzen 4000
В середине лета в продажу поступили настольные процессоры компании AMD серии Ryzen 3000. Сейчас калифорнийский гигант ведёт работу над HEDT-решениями линейки Ryzen Threadripper 3000, а на просторах
В Google Play нашли скрывающие свои иконки вредоносные приложения
Внедрение рекламного кода внутрь приложений является давней практикой разработчиков при распространении бесплатных приложений. Ещё менее щепетильные разработчики применяют более вредоносные методы
Activision хочет создать ботов на основе анализа действий игроков
Activision оформила патентную заявку на создание ботов на основе анализа действий реальных игроков. Как пишет GameRant, компания планирует использовать разработки в многопользовательских режимах
Corsair представила комплект модулей памяти Vengeance LPX DDR4 с частотой 5000 МГц
Компания Corsair представила в серии Vengeance LPX первый в мире комплект модулей оперативной памяти DDR4, для которых производитель гарантирует способность работать с частотой 5000 МГц, то есть эти
Apple выпустила и почти сразу отозвала обновление iOS 13.2 beta 2: оно вызывает сбой
11 октября компания Apple выпустила iOS 13.2 beta 2, после установки которой некоторые владельцы iPad Pro 2018 года оказались с неработающими устройствами. Как сообщается, после установки планшеты не
Чиплеты станут на поток: к концу года появятся первые инструменты для проектирования
Компании Intel и AMD уже используют технологию проектирования процессоров, которая предполагает сборку на одной подложке процессора вычислительных ядер и других блоков, например, когда AMD в
Видеокарты Zotac GeForce GTX 1660 Super оснащаются памятью GDDR6
Уже в этом месяце, если верить слухам, компания NVIDIA должна представить новые видеокарты средней ценовой категории GeForce GTX 16-й серии. Одной из них должна стать GeForce GTX 1660 Super, и ресурс
Nvidia продолжит внедрять трассировку лучей в классические видеоигры
Похоже, что Quake 2 RTX станет не единственным проектом, созданным для привлечения внимания к набору технологий Nvidia RTX и трассировке лучей в частности. «Зелёный» чипмейкер продолжит выпускать
«
»
  • 1
  • 2

Авторизация