[BLOQUEIOS] Por whitelist e Layer7

DiegoAngra07
(usa Ubuntu)

Enviado em 01/12/2016 - 11:35h

Bom dia pessoal,

Hoje na empresa temos bloqueio do Facebook e afins com Layer7, para todo mundo. Gostaria de aplicar uma regra de Whitelist que permitisse que alguns desses sites fossem acessados por IPs específicos.

Andei lendo nos fóruns de MikroTik que o uso de L7 não é bom, e realmente tem sites aqui que não carregam devido a integração com Facebook. Porém não sei se confio no bloqueio por IP, teria que ficar atualizando a lista de IPs das redes sociais todo tempo certo?

Bom, sei como fazer bloqueio de dst-address com Whitelist, marcando na regra que não se aplique àquela address-list (!whitelist por exemplo). Mas nos bloqueios com L7 isso não funciona de jeito nenhum! Tentei marcar para não se aplicar a lista, tentei marcar os pacotes, e tentei com 2 regras (1 de bloqueio pra todos e 1 de permissão pra whitelist). Os métodos que achei na internet são de versões anteriores do RoS e/ou não funcionaram comigo.

Vocês tem algum método mais novo / tutorial / algo pra sugerir? Devo usar o bloqueio por IP? Continuar no bloqueio por L7 e fazer funcionar a Whitelist?

Desde já agradeço.

Isaiasfreitas
(usa Debian)

Enviado em 08/01/2017 - 19:43h

Tambem to procurando informaçoes novas pq muitas inf. encontrada na net sao pra versoes antigas pelo jeitom pq na 6x aqui nao funcionada.

DiegoAngra07
(usa Ubuntu)

Enviado em 12/01/2017 - 08:50h

Pois é amigo, está difícil conseguir fazer isso. Não consegui nenhuma informação nos fóruns para as versões atuais, ninguém responde.

bytetelecom
(usa Outra)

Enviado em 07/06/2017 - 10:29h

amigo

usei o protocolo L7 no mikrotik e apliquei a um cliente. abaixo segue o tutoral completo... que deu certo.

porem tive um problema que estou tentando resolver ainda. Ao Fazer o bloqueio, todas as portas são fechadas tambem, e não consegui abrir ainda.

tutorial

Mikrotik – Byte
Configuração básica – RB750

CONFIGURAÇÃO BÁSICA

1 – Remover todas as configurações

2 – Renomear as interfaces.
Ether1 – trocar o nome para INTERNET
Ether2 – trocar o nome para REDE
Ether3 – desabilitar
Ether4 – desabilitar
Ether5 – desabilitar

3 – IP / Adresses/+
REDE
Address – 192.168.1.254/24
Network – 192.168.1.0
Interface - REDE

4 – IP/ pool
Criar um pool
DHCP REDE
Nome: DHCP REDE / Address.: 192.168.1.1 – 192.168.1.99

5 – IP DHCP Server
Nome: SERVIDOR DHCP REDE
Interface: REDE (ether2)
Adresses Pool: DHCP LAN
Authoritative - no

6 - IP / DHCP Server / NETWORKS
Address – 192.168.1.0/24
Gateway – 192.168.1.254
Netmask – 24

7 - IP / FIREWALL / NAT
Remover a regra existente.
General / Chain : srcnat
General / Out.Interface: INTERNET
Action / Action : masquerade

BLOQUEIO SIMPLES

1 – IP / FIREWALL / ADDRESS LIST / +
BLOQUEADOS – 192.168.1.101 – 192.168.1.130

2 – IP / FIREWALL / LAYER 7 PROTOCOLS / +
BLOQUEIO GERAL / REGEXP / nome do site

3 – IP / FIREWALL / FILTER RULES / +
GENERAL / CHIN=FARWOD / PROTOCL – 6(TCP)
ADVANCED / SRC ADDRESS LIST = BLOQUEADOS / LAYER 7 = nome do site.
ACTION / ACTION = REJECT / REJECT = RESET TCP.
BLOQUEIO GERAL

8 – IP / FIREWALL / ADDRESS LIST / +
BLOQUEADOS – 192.168.1.101 – 192.168.1.130
LIBERADOS1 – 192.168.1.1 – 192.168.1.100
LIBERADOS2 – 192.168.1.131 – 192.168.1.254

9 - IP / FIREWALL / LAYER 7 PROTOCOLS / +
BLOQUEIO GERAL / REGEXP / ^.+.(.).*$

10 - IP / FIREWALL / FILTER RULES / +
REJECT
GENERAL / CHIN=FARWOD / PROTOCL – 6(TCP)
ADVANCED / SRC ADDRESS LIST = BLOQUEADOS / LAYER 7 = BLOQUEIO GERAL.
ACTION / ACTION = REJECT / REJECT = RESET TCP.

LIBERAÇÃO POR SITE

11 - IP / FIREWALL / LAYER 7 PROTOCOLS / +
SITE / REGEXP / ^.+.(SITE A SER LIBERADO.COM.BR).*$

13 - IP / FIREWALL / FILTER RULES / +
REJECT
GENERAL / CHIN=FARWOD / PROTOCL – 6(TCP)
ADVANCED / SRC ADDRESS LIST = BLOQUEADOS / LAYER 7 = SITE.
ACTION / ACTION = ACEPT.

Informações do cliente.

Segue sites que precisamos de acesso na recepção e marcação:

http://novowebplanamagis.facilinformatica.com.br/GuiasTISS/Logon
http://portal.unimedbh.com.br/wps/portal/inicio
https://www12.unimedbh.com.br
https://extranet.unimedbh.com.br
http://www.bradescoseguros.com.br
https://www.cemigsaude.org.br
http://www.copass-saude.org.br

Dentro das salas de exames precisamos apenas do site:

https://extranet.unimedbh.com.br/acesso/loginCooperado.html?goto=https%3A%2F%2Fextranet.unimedbh.com.br%3A443%2Fconsultorio%2F

Faturamento, Compras e administração não terá bloqueio.

MMG e PC que enviamos informação para a CR tudo bloqueado.