[URGENTE] Bloqueio de sites com MikroTik

1. [URGENTE] Bloqueio de sites com MikroTik

Fernando Carneiro
CarneiroTech

(usa Outra)

Enviado em 18/08/2021 - 16:49h


Recebi um link (dinâmico) de internet de 1Gbit/s em cada prédio, mas por norma da instituição preciso bloquear sites de entretenimento e redes sociais. Em cada prédio tem uma CRS125, eu tentei bloquear dando drop nos domínios dinâmicos que adicionei no address list, mas o aparelho fica em 100% com duas máquinas conectadas e para tudo quando coloquei nos prédios (entre 10 e 100 dispositivos). Qual o aparelho correto para isso? Existe outra maneira não tão cara de conseguir o mesmo resultado? Não tem Active Directory.. Estou carregando o TI do setor com tudo que posso e preciso muito da ajuda de vocês!!! 🙏🙏🙏🙏


  


2. Re: [URGENTE] Bloqueio de sites com MikroTik

3. Re: [URGENTE] Bloqueio de sites com MikroTik

Fernando Carneiro
CarneiroTech

(usa Outra)

Enviado em 19/08/2021 - 08:57h


Obrigado!!!! Toda ajuda é bem vinda. Sim eu já fiz esse tipo de bloqueio, porém o aparelho MikroTik CRS125 não aguenta e fica 100% e trava a rede. Vi em uma apresentação que ele não consegue fazer função de roteamento e firewall. Preciso URGENTE de uma solução pra isso, existe algum outro aparelho próprio para isso, ou uma configuração diferente que bloqueie o acesso a sites de entretenimento e redes sociais?


4. Re: [URGENTE] Bloqueio de sites com MikroTik

Osama Jr.
/bin/laden

(usa Void Linux)

Enviado em 19/08/2021 - 12:09h

Vc pode tentar via layer7 dessa forma:

#1 - Criar entrada layer 7:
/ip firewall layer7-protocol
add name="redes_sociais" regexp="facebook|tiktok|instagram" comment="Redes sociais"

#2 - Adicionar regras na tabela "mangle":
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol="redes_sociais" new-connection-mark="redes_sociais_conn" passthrough=yes comment="Bloqueio/Redes sociais"
add action=mark-packet chain=prerouting connection-mark="redes_sociais_conn" new-packet-mark="redes_sociais_pkt" passthrough=no


#3 - Adicionar regras na tabela "filter":
/ip firewall filter
add action=drop chain=input packet-mark="redes_sociais_pkt" comment="Bloqueio/Redes sociais"


---
echo 1244394795515721490698P | dc


5. Re: [URGENTE] Bloqueio de sites com MikroTik

Fernando Carneiro
CarneiroTech

(usa Outra)

Enviado em 19/08/2021 - 12:13h


/bin/laden escreveu:

Vc pode tentar via layer7 dessa forma:

#1 - Criar entrada layer 7:
/ip firewall layer7-protocol
add name="redes_sociais" regexp="facebook|tiktok|instagram" comment="Redes sociais"

#2 - Adicionar regras na tabela "mangle":
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp dst-port=53 connection-mark=no-mark layer7-protocol="redes_sociais" new-connection-mark="redes_sociais_conn" passthrough=yes comment="Bloqueio/Redes sociais"
add action=mark-packet chain=prerouting connection-mark="redes_sociais_conn" new-packet-mark="redes_sociais_pkt" passthrough=no


#3 - Adicionar regras na tabela "filter":
/ip firewall filter
add action=drop chain=input packet-mark="redes_sociais_pkt" comment="Bloqueio/Redes sociais"


---
echo 1244394795515721490698P | dc


Obrigado!! Sensacional

Porém nos prédios eu tenho switch’s MikroTik CRS125 e eles não aguentam layer 7 também. 😫


6. Re: [URGENTE] Bloqueio de sites com MikroTik

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 19/08/2021 - 13:41h

Se o equipamento não suporta muitas configurações de analise(o HW), acho que não tem muito o que fazer, além de que MK não é o mais indicado para esse ação(pelo menos ate aonde vi), ainda mais hoje em dia que tudo usa HTTPS quase, então Firewall que so trabalham com IP são quase "legado" e Proxy sem uma inspeção https também.

Ai depende muito de quanto é o seu orçamento para adquirir uma solução pronta ou "tentar" criar uma com as ferramentas existentes.



#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



7. Re: [URGENTE] Bloqueio de sites com MikroTik

Leandro Silva
LSSilva

(usa Outra)

Enviado em 19/08/2021 - 20:50h

Boa noite!

Então, eu creio que este equipamento que você citou seja um switch e não um router. Porém, ele tem as funções liberadas, é layer 3 e tem licença level 5. Mas ele é só um switch, e essa não é a função dele. É single core cpu e tem 128mb ram. Um roteador básico já te ajudaria bastante nesse caso, mesmo da Mikrotik, seja um rb750gr3 ou rb760igs. Tem também mais robustos, como o cloud core. Isso resolveria a limitação de hw. Mas como dito acima, essa não é a principal função deles (é roteamento). Pensa num server com pfsense ou utm pago pra isso, como um fortigate ou Sophos.


8. Re: [URGENTE] Bloqueio de sites com MikroTik

Fernando Carneiro
CarneiroTech

(usa Outra)

Enviado em 19/08/2021 - 20:58h


Eu fico muito grato pela ajuda pessoal, eu entendi que com o DoH essa abordagem fica obsoleta. Por favor, sou leigo, me indiquem um serviço específico que eu consiga contratar para resolver esse problema? No caso seria um servidor de DNS particular que tem filtragem?


9. Re: [URGENTE] Bloqueio de sites com MikroTik

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 19/08/2021 - 22:30h


CarneiroTech escreveu:


Eu fico muito grato pela ajuda pessoal, eu entendi que com o DoH essa abordagem fica obsoleta. Por favor, sou leigo, me indiquem um serviço específico que eu consiga contratar para resolver esse problema? No caso seria um servidor de DNS particular que tem filtragem?


Como vc é leigo pelo que informa, acredito que teria que contratar uma empresa que lhe dará o suporte necessário, ai vai depender do que eles/vc quer....
Ser for pago eu iria para Soluções da Sophos o qual conseguirá tem uma conjunto de funcionalidade robustas.
Se for algo "free" ai vc precisa analisar bem se vai atender o que vc precisa.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



10. Re: [URGENTE] Bloqueio de sites com MikroTik

Fernando Carneiro
CarneiroTech

(usa Outra)

Enviado em 20/08/2021 - 09:04h


Carlos_Cunha escreveu:


CarneiroTech escreveu:


Eu fico muito grato pela ajuda pessoal, eu entendi que com o DoH essa abordagem fica obsoleta. Por favor, sou leigo, me indiquem um serviço específico que eu consiga contratar para resolver esse problema? No caso seria um servidor de DNS particular que tem filtragem?


Como vc é leigo pelo que informa, acredito que teria que contratar uma empresa que lhe dará o suporte necessário, ai vai depender do que eles/vc quer....
Ser for pago eu iria para Soluções da Sophos o qual conseguirá tem uma conjunto de funcionalidade robustas.
Se for algo "free" ai vc precisa analisar bem se vai atender o que vc precisa.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#


Não tão leigo assim né amigo, senão não estaria aqui, trabalho há alguns anos com rede. Eu quis dizer que não tenho experiência com DoH e provedor de filtro DNS. Se alguém puder me indicar um serviço simples de preferência com suporte em português eu agradeço.


11. Re: [URGENTE] Bloqueio de sites com MikroTik

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 20/08/2021 - 20:26h


CarneiroTech escreveu:


Carlos_Cunha escreveu:


CarneiroTech escreveu:


Eu fico muito grato pela ajuda pessoal, eu entendi que com o DoH essa abordagem fica obsoleta. Por favor, sou leigo, me indiquem um serviço específico que eu consiga contratar para resolver esse problema? No caso seria um servidor de DNS particular que tem filtragem?


Como vc é leigo pelo que informa, acredito que teria que contratar uma empresa que lhe dará o suporte necessário, ai vai depender do que eles/vc quer....
Ser for pago eu iria para Soluções da Sophos o qual conseguirá tem uma conjunto de funcionalidade robustas.
Se for algo "free" ai vc precisa analisar bem se vai atender o que vc precisa.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#


Não tão leigo assim né amigo, senão não estaria aqui, trabalho há alguns anos com rede. Eu quis dizer que não tenho experiência com DoH e provedor de filtro DNS. Se alguém puder me indicar um serviço simples de preferência com suporte em português eu agradeço.


Entendo, mas é que pelo nível de perguntas/respostas que fez, de fato achei que era "bem leigo", o que não é um problema, ninguém sabe tudo, mas falta de humildade, ainda mais em um fórum aonde "VC" precisa de ajuda, ah isso é sim um problema!!!
Bom, ok então, boa sorte com o "seu problema".


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#



12. Re: [URGENTE] Bloqueio de sites com MikroTik

Buckminster
Buckminster

(usa Debian)

Enviado em 21/08/2021 - 21:10h

CarneiroTech escreveu:


Recebi um link (dinâmico) de internet de 1Gbit/s em cada prédio, mas por norma da instituição preciso bloquear sites de entretenimento e redes sociais. Em cada prédio tem uma CRS125, eu tentei bloquear dando drop nos domínios dinâmicos que adicionei no address list, mas o aparelho fica em 100% com duas máquinas conectadas e para tudo quando coloquei nos prédios (entre 10 e 100 dispositivos). Qual o aparelho correto para isso? Existe outra maneira não tão cara de conseguir o mesmo resultado? Não tem Active Directory.. Estou carregando o TI do setor com tudo que posso e preciso muito da ajuda de vocês!!! 🙏🙏🙏🙏


Bom, vamos lá.
Tu pode colocar um computador (servidor) com Linux (Debian, CentOS ou Arch)), firewall (Iptables ou Nftables), Squid e DHCP para controle dos sites e redes sociais. Porém, teria que colocar na entrada geral, vamos dizer assim, antes de chegar em cada prédio, ou colocar uma máquina com firewall e squid em cada prédio.
O problema é que se tu não tem experiência nisso deverá encontrar alguém que já fez esse tipo de instalação... ou aprender fazendo.
Tutoriais sobre firewall e squid é o que não falta aqui no VOL e no Google.

Esses CRS125 aconselho a deixar somente como switch, deixar "pelados" nas configurações, sem DHCP (ou talvez um que outro por necessidade possa colocar distribuindo DHCP), sem nada mais, mas, de preferência, deixe só como switch.
Tu deve ter um roteador aí na entrada do link, a empresa que fornece o link deve ter colocado um. Por enquanto pode fazer alguns bloqueios pelo roteador.
São quantos prédios?
Tem um setor de TI que concentra os servidores?
O link entra fisicamente (o cabo, deve ser fibra) pelo setor de TI?

________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.

Ou então execute:
# chown -R root:root /
# mount -o remount,rw /
# reboot

e veja o sistema derreter na sua frente.




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts