VK Feed icon.svg

Звоните нам: +375 (29) 3245385, +375 (29) 7505994, +375 (25) 9164238

Прозрачный Proxy-сервер с помощью MikroTik

опубликовал от 08 Август, 2015

В маршрутизаторы MikroTik встроен web-proxy, который можно использовать в режиме транспарентного прокси. Транспарентный - прозрачный для пользоватей прокси. Клиенты считают, что берут интернет с маршрутизатора используя NAT, но на деле все запросы к серверам до 80 порта переадресовываются на прокси MikroTik. Во первых как включается сам Web-proxy на MikroTik?. Во вторых как его можно использовать для ограничения доступа пользоватей к определённым сайтам? На эти вопросы ответит краткая статья по настройке Proxy на MikroTik

Добавляется правило переадресующее запросы пользователей в ip/firewall/NAT Например для сети 10.0.0.0/24 оно выглядит так:

 

Можно использовать следующие комманды для терминала:

/ip firewall nat
add action=redirect chain=dstnat dst-port=80 protocol=tcp src-address=10.0.0.0/24 to-ports=8080

Активируем сам прокси. По умолчанию он работает на порту 8080. Идём в IP/Firrewall/Web Proxy и ставим галочку Enable

Комманда для терминала выглядит так:

/ip proxy
set cache-path=web-proxy1 enabled=yes max-cache-size=none parent-proxy=0.0.0.0

Теперь можно запрещать в настройках прокси-сервера доступ к узлам по url. Нажмём кнопочку Access и добавим например запрещающие правила на социальные сети и новостные сайты:

Правило будет переадресовывать пользователя обращающегося к www.tut.by  на mail.tut.by

Правила фильтрации для терминала:

/ip proxy access
add action=deny dst-host=www.vk.com redirect-to=192.168.0.254
add action=deny dst-host=vk.com redirect-to=192.168.0.254
add action=deny dst-host=vkontakte.ru redirect-to=192.168.0.254
add action=deny dst-host=mamba.ru redirect-to=192.168.0.254
add action=deny dst-host=www.mamba.ru redirect-to=192.168.0.254
add action=deny dst-host=vkontakte.com redirect-to=192.168.0.254
add action=deny dst-host=www.vkontakte.com redirect-to=192.168.0.254
add action=deny dst-host=www.vkontakte.ru redirect-to=192.168.0.254
add action=deny disabled=yes dst-host=facebook.com redirect-to=192.168.0.254
add action=deny disabled=yes dst-host=www.facebook.com redirect-to=192.168.0.254
add action=deny dst-host=tut.by redirect-to=mail.tut.by
add action=deny dst-host=www.tut.by redirect-to=mail.tut.by
add action=deny disabled=yes dst-host=www.facebook.com redirect-to=192.168.0.254

Переадресация на 192.168.0.254 сделана не случайно - это сам MikroTik. Вместо этого рекомендуем сделать страничку на собственном Web сервере для указания того, что пользователям запрещён доступ к данному ресурсу.... Позволит уменьшить количество звонков на ваш мобильный.

В качестве дополнительной защиты рекомендуем с помощью DHCP раздать пользователям DNS сервера Yandex. Сервис позволяет ограничить доступ к сайтам со взрослым контентом и вирусами.

Прочитано 100384 раз Последнее изменение Понедельник, 17 Июль 2017 02:53
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by

Другие материалы с нашего сайта:

4 Комментарии

  • Михаил

    Здравствуйте. Подскажите пожалуйста, как сделать так, что бы при срабатывании правила DROP в / ip firewall filter этот IP перебрасывало на /ip firewall nat а тот в свою очередь перебрасывал на /ip proxy на котором лежит файл error.html и демонстрируется тому на чей IP сработало правило DROP в / ip firewall filter

    Ответ: Подобные инструкции есть уже в интернете... Ищите через Яндекс...

    Михаил   Четверг, 21 Декабрь 2017 15:47
  • Harry

    Здравствуйте! Есть задача организовать прокси-сервер на PPPoE интерфейсе с постоянным IP от провайдера с доступом из интернета к локальному хосту не по 80 порту.
    Возможно ли это на микротике ?

    Ответ: Что-то подобное можно сделать.

    Harry   Понедельник, 12 Июнь 2017 17:10
  • Александр

    К сожалению, этот способ заблокировать доступ к сайтам не работает для протокола https (443 порт).

    Ответ: Так и есть...

    Александр   Пятница, 14 Апрель 2017 16:12
  • Евгений

    Скажите пожалуйста как сделать массовое объявление пользователям через прокси сервер, например "Оплатите интернет", что бы кто увидел его, больше на него не попадали"

    Ответ:Такую статью я писать в ближайшее время не планирую

    Евгений   Четверг, 23 Март 2017 12:07

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Последние комментарии:

  • Микротик Мэн Написал Микротик Мэн Ноябрь 18, 2017 Небольшое уточнение - в бридже надо ставить не local-proxy-arp, а proxy-arp почему-то только тогда у…
  • Евгений Написал Евгений Март 23, 2017 Скажите пожалуйста как сделать массовое объявление пользователям через прокси сервер, например "Оплатите интернет", что бы…
  • Gurgen Написал Gurgen Май 31, 2015 Доброго дня. Кажется, все хорошо. Я получаю IP, пинг идет mikrotik. но я не могу…
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по настройке маршрутизаторов MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промсвязь
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3
 rss  vk groupe

 

Нравится ли вам наш блог?


Браузер электромобилей Tesla переведут на Chromium
Браузер, который используется в электромобилях Tesla, не может похвастаться стабильностью. Потому вполне логично, что его нужно обновить. Сооснователь компании Илон Маск уже сообщил в Twitter, что
Процессоры AMD набирают популярность в европейской рознице
Как сообщает нидерландское издание Tweakers, в странах Бенилюкса (политический и экономический союз Бельгии, Нидерландов и Люксембурга) продажи отдельных процессоров AMD Ryzen показывают стабильный
Подробности обо всех моделях встроенных графических процессоров Intel 11-го поколения
Новостей о графических процессорах Intel много не бывает. Вслед за подробностями об архитектуре и производительности встроенной графики Intel 11-го поколения в нашем распоряжении появилась информация
Встроенная графика Intel 11-го поколения оказалась быстрее AMD Vega 10 в Ashes of the Singularity
Вслед за подробным описанием архитектуры будущей встроенной графики Intel 11-го поколения (Gen11) в Сети появилась новая информация о её производительности. Известный источник утечек с псевдонимом
Устройства PCIe SSD займут половину рынка твердотельных накопителей в 2019 году
Уже к концу текущего года твердотельные накопители (SSD) с интерфейсом PCIe могут сравняться по объёму поставок с флеш-решениями, использующими интерфейс SATA.  Снижающиеся цены на чипы
Windows 7 начала напоминать о скором прекращении поддержки
Компания Microsoft планирует прекращение поддержки Windows 7 на 14 января 2020 года. При этом в мире есть сотни миллионов пользователей ПК, которые до сих пор не обновились до более современной
Facebook хранила сотни миллионов паролей пользователей в обычных текстовых файлах
Способ хранения паролей — базовый вопрос безопасности. Тем не менее, время от времени достоянием общественности становятся скандалы, связанные с тем, что те или иные большие или малые компании
В velcom появился LTE: вот как он работает
Сегодня телеком-оператор velcom начал предоставлять услуги в сети LTE. Мы вышли на улицы Минска, чтобы проверить скорость подключения к интернету в сети четвертого поколения, предоставляемой
«
»
  • 1
  • 2

Авторизация