Este artigo ensina a configuração básica de um bom controle de acesso a internet, que pode ser configurado de dois modos, o primeiro libera toda internet aos clientes do servidor e bloqueia um lista definida, o segundo e preferido por mim, é de liberar uma lista de sites para acesso aos clientes do servidor e bloqueando todo o resto.
Note que nas duas situações, nunca usamos o campo SRC-ADDRESS na hora de realizar os bloqueios ou liberações dependendo da situação.
Mas o fato é que podemos usá-los para, por exemplo, aplicarmos a regra somente a um ip especifico da rede interna, ou seja, liberando alguns sites para cada ip da rede interna de forma individual na opção whitelist ou bloqueando alguns sites para cada ip da rede interna de forma individual na opção blacklist.
Veja o exemplo:
# ip proxy access add src-address 192.168.0.133 dst-address=200.98.249.120 action=deny comment=Bloqueio_site_www.uol.com.br_para_o_joão
A regra acima diz que o ip 192.168.0.133 não pode acessar o site da uol e o comentário dela indica que a regra é para o usuário "joão".
Claro que abaixo dela temos as duas regras citadas na página 4 deste artigo, que liberam tudo que não foi bloqueado acima das mesmas.
Veja outro exemplo:
# ip proxy access add src-address 192.168.0.133 dst-address=200.98.249.120 action=allow comment=Liberacao_site_www.uol.com.br_para_Joao
A regra acima diz que o ip 192.168.0.133 pode acessar o site da uol e o comentário dela indica que a regra é para o usuário "joão".
Também no caso abaixo desta regra temos as duas regras citadas na página 6 deste artigo que bloqueiam tudo que não foi liberado acima das mesmas.
Desta forma você consegue definir de forma individual, ou seja, por usuário, o que ele vai ou não acessar na web.
[6] Comentário enviado por Andre_A_Ferreira em 13/07/2008 - 21:03h
Olá adrianoturbo,
Claro que o bom e velho squid tem suas vantagens, dentre elas a possibilidade de agregar diversos sistemas que complementam funções, tipo monitoramento por paginas http, logs bem elaborados e não somente por um .txt como no mikrotik, mas vejo também algumas vantagens no quesito segurança deste artigo em relação ao squid instalado em linux.
Lembrando que o mikrotik na verdade usa o squid, não com tantas possibilidades de personalização como em um linux, mas usa.
Mas, no final das contas isso vai depender muito da utilização (ambiente de produção).
Obrigado pelo comentario.
[7] Comentário enviado por fasseabra em 02/09/2008 - 19:24h
Amigo - tenho um cenário parecido, gostaria de um help!
3 Link => Ubuntu Server configurado o Squid => Mikrotik (controle de clientes) já config. cache full => APs.
O HD de meu MK ja esta funcionando o Cache Full - Gostaria que funciona-se tb como cache full o que vem do meu server Ubuntu. Ele faz cache mas não vem full.
Será q o amigo poderia me auxiliar?
[9] Comentário enviado por carlosdias98 em 25/09/2008 - 22:50h
Amigo, excelente artigo ! Só faltou comentar alguns outros tipos de bloqueios do proxy, sem ser pelo ip. No caso somente adicionando a *uol* no campo Dst Host, que já barraria tudo referente a uol. Mas esta 10. Olha e parabéns pelo seu artigo falando sobre o mk c/ proxy paralelo.
[10] Comentário enviado por Andre_A_Ferreira em 26/09/2008 - 07:17h
Olá carlosdias98,
Mas a intenção é exatamente fazer pelo caminho mais dificil, fazendo a pessoa pensar como deve fazer no caso especifico da rede que possui.
Mas fica a sua dica, obrigado pelo comentário.
[11] Comentário enviado por removido em 24/10/2008 - 20:49h
Olá, sou iniciante aqui,
eu estou com um servidor mikrotik quase montado,
quero conf, com autencicação pppoe, olha vou ser bem direito no problema ...
criei uma conexão no eu windows xp, e qnd vou me conectar com user e senhar normal
recebo uma mensagem assim ...
''verificando conexão de protocolo de rede
TCP/IP cp reportou erro 738: O servidor não associcou um endereço.''
imagino que o cliente ( eu-minha maquina ) está pedindo um ip, mais a questão é ..
como eu config isto !?
será q você poderia me dá uma dica?!!?
agradeço mto.
abraço
[12] Comentário enviado por Andre_A_Ferreira em 12/11/2008 - 07:21h
Olá pgdc,
Voce tem que cadastrar um range de ips no IP > ADRRESS, depois em PPPOE, na aba SECRETS, no usuario que voce criou, tem dois campos, um LOCAL ADDRESS voce indica o ip do seu servidor mk, e o outro o ip que será usado neste cliente.
[13] Comentário enviado por moisestecnico em 17/03/2009 - 15:35h
Olá ... não tive muito sucesso com as sua explicação, mas vamos lá.
Quero fazer da seguinte maneira tenho um provedor e uso o servidor mikrotik 2.9.
Quero fazer da seguinte maneira, quando eu tiver um cliente inadimplente bloquear ele para não navegar em site nenhum, e quando ele for navegar direcionar ele para algum site que pode estar assim (Internet Bloqueada, entre em contato com o provedor), por exemplo vou criar um site que tenha esta resposta. este modelo e como as grande empresas fazem por exemplo a (GVT) que é uma empresa de telofonia, vc consegue pingar em qualquer site mas não consegue navegar sempre vem um pagina de bloqueio, como faço isto? tem alguma ideia? ajuda-me.
A minha configuração tá da seguinte maneira, cada cliente tem um Ip especifico, o ip do cliente está amarrado ao MAC dele.
O meu servidor controla tudo.
Quem poder me ajudar fico grato.
[14] Comentário enviado por Andre_A_Ferreira em 07/04/2009 - 18:22h
Olá moisestecnico,
Bom isso que voce quer fazer é serviço para um sistema de autenticação e não para um proxy, tente usar hotspot configurando profiles de bloqueio com a opção "advertise".
[15] Comentário enviado por Fabio F em 15/05/2009 - 17:37h
Parabéns pelo artigo !!! Ajudou muito.
Gostaria de saber se existe uma maneira rápida para "importar" uma lista de bloqueios (palavras a serem bloqueadas).
Tenho a lista do meu squid, e queria usar a mesma, existe essa possibilidade?
[17] Comentário enviado por moisestecnico em 16/09/2009 - 12:22h
Andre_A_Ferreira
Meu servidor e configurado também com o IP amarrado ao MAC e Hotspot, e o gerenciamento da pagina estou fazendo atravéz do DST-NAT, mas quando direciono a pagina ao meu IP ele mostra a pagina principal do MK....
Através do FILEZILA enviei a pasta de Aviso para dentro do MK.
vc sabe me dizer como vou direcionar o cliente para a pasta de BLOQUEIO.
[18] Comentário enviado por moisestecnico em 16/09/2009 - 13:25h
Andre_A_Ferreira
entendir o que vc quiz dizer com "advertise".
mas está opção o cliente vai visualizar a pagina como se foce uma publicidade, e depois retornará a pagina da internet normalmente.
Mas o que quero e que toda vez que ele entrar o servidor vai levar ele somente para pagina de aviso bloqueando a entrada na internet.
da mesma forma que o DST-NAT faz, mas não estou conseguindo direcionar ele para a pagina de Bloqueio.
se poder dar uma dica, grato.
[19] Comentário enviado por moisestecnico em 22/09/2009 - 13:21h
Ok.... Gostaria de dizer que o problema que estava com ele, está resolvido.
Agora estou estudando para implantar DDNS no meu MK.
Quem tiver uma dica, me envie por favor.
[20] Comentário enviado por lindonjonsom em 18/03/2010 - 22:05h
olá amigo esta ótimo esse seu artig.
gostaria de saber como faça para acessa meu mikrotik!!
pois já fiz de td é não conseguie ainda, sera que vc poderia me ajuda!!!
agradeço.
até mais...
[21] Comentário enviado por cattaicowboy em 29/10/2010 - 09:47h
ola andre estou precisando de um firewall para controlar o acesso aki na minha empresa e gostaria de saber se voce pode me ajudar, porque sou iniciante no linux.
grato e aguardo resposta