slash76 Inserito: 26 ottobre 2017 Segnala Share Inserito: 26 ottobre 2017 Ciao ragazzi....sto provando ad impostare un Proxy web in trasparent mode su un hap Mikrotik da un cliente semplicemente per bloccargli (come da sua richiesta) youtube e alcuni download di file mp3/4 zip ecc....ho seguito la wiki molto semplicemente ma non riesco a farlo funzionare....ho impostato sul nat una regola per reindirizzare le richieste sulla porta 80 alla 8080 del proxy: chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address=10.0.100.0/24 in-interface=ether1 dst-port=80 log=no log-prefix="" la 10.0.100.0 è la lan del cliente..... Questa è l'impostazione del proxy: enabled: yes src-address: 10.0.100.0 port: 8080 anonymous: yes parent-proxy: :: parent-proxy-port: 0 cache-administrator: admin@10.0.100.1 max-cache-size: unlimited max-cache-object-size: 3000KiB cache-on-disk: yes max-client-connections: 600 max-server-connections: 600 max-fresh-time: 3d serialize-connections: no always-from-cache: yes cache-hit-dscp: 4 cache-path: web-proxy Se vado sullo status non vedo il proxy in "running", ma in "passthrough"....che non riesco a capire cosa voglia dire: status: passthrough uptime: 1w17h29m35s client-connections: 0 server-connections: 0 requests: 365 total-ram-used: 104KiB received-from-servers: 2649KiB sent-to-clients: 2811KiB hits-sent-to-clients: 0KiB Sapete cosa manca??? P.S. Andrea se ci sei batti un colpo.... Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 26 ottobre 2017 Segnala Share Inserita: 26 ottobre 2017 Stasera non riesco ...ma domani cerco di guardarci con attenzione. Di sicuro manca un po’ di roba..... non ho capito chi è il proxy... Comunque Io piuttosto che farlo fare direttamente a lui mi appoggerei a un servizio esterno Link al commento Condividi su altri siti More sharing options...
slash76 Inserita: 27 ottobre 2017 Autore Segnala Share Inserita: 27 ottobre 2017 Ciao Andrea....dunque ho fatto due prove veloci....intanto mi sono spostato su una Rb3011, e funziona, nel senso che con la stessa configurazione sull'hap ora il proxy è in running....Con le prove che ho fatto ho capito che il proxy funziona ma non in Trasparent mode...Esempio: sto provando a bloccare youtube....ho creato una regola di Access sul proxy mettendo www.youtube.com su Dst host con action "deny", ma non succede nulla....cioè apro Chrome digito youtube e lo raggiungo....se però su Dst Host metto il !, cioè tutto tranne quell'host, quando apro Chrome il proxy risponde con un Access denied ma cliccando sul link il browser funziona....ho provato anche ad impostare una regola sulla cache di "allow" per youtube, ma non funziona lo stesso....eppure seguendo diverse wiki non specificano nient'altro.....impostare semplicemente un dtn nat redirect dalla 80 alla 8080 e compilare gli access sulla...... secondo me il problema è sulla connessione https.....sulla porta 443...essendo in SSH, il Mk lo lascia passare.... Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 27 ottobre 2017 Segnala Share Inserita: 27 ottobre 2017 Oggi sono un po' più fresco. La conf. potrebbe anche funzionare. Anche se ribadisco che io lo farei su un servizio esterno tramite un redirect forzato dei DNS. Comunque prova così: ip proxy> print enabled: yes src-address: 10.0.100.1 port: 8080 parent-proxy: 0.0.0.0:0 cache-drive: system cache-administrator: "user@gmail.com" max-disk-cache-size: none max-ram-cache-size: 100000KiB cache-only-on-disk: yes maximal-client-connections: 1000 maximal-server-connections: 1000 max-fresh-time: 3d Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 27 ottobre 2017 Segnala Share Inserita: 27 ottobre 2017 Dipende dove metti le regole e soprattutto l'ordine. Dove le inserisci? nella chain di pre-routing? Link al commento Condividi su altri siti More sharing options...
slash76 Inserita: 27 ottobre 2017 Autore Segnala Share Inserita: 27 ottobre 2017 Ciao Andrea....dunque, guardando sul forum mk sembra non sia possibile utilizzare il proxy in Trasparent mode con connessioni https....è possibile fare un redirect verso uno squid....ti risulta?? Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 27 ottobre 2017 Segnala Share Inserita: 27 ottobre 2017 Sicuramente si; anche se non l'ho mai provato. Io di solito uso dei servizi di proxy e filtering esterni dove faccio solo il redirect dei DNS Link al commento Condividi su altri siti More sharing options...
slash76 Inserita: 27 ottobre 2017 Autore Segnala Share Inserita: 27 ottobre 2017 Dando uno sguardo veloce i piu consigliati sembrano Hidemyass e Vypervpn....sapresti consigliarmi qualcosa?? Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 27 ottobre 2017 Segnala Share Inserita: 27 ottobre 2017 Io di solito uso FlashStart Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 22 agosto 2018 Segnala Share Inserita: 22 agosto 2018 Seguo qua...anche io volevo bloccare il dns di youtube, Facebook e compagnia cantante quando un device va in fail over e utilizza la wan2 che ha una sim con 10GB al mese... Quindi Andrea potrei fare una dst-nat specificando la porta wan2 e cambiando la destinazione della udp 53 verso il dns di flash start creando inoltre una regola di redirect? E il dns di flash start come funziina? Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 22 agosto 2018 Segnala Share Inserita: 22 agosto 2018 Si però se usi FlashStart non puoi destinarlo solo alla seconda WAN......o meglio dovresti fare uno script che cambia anche i DNS (e la regola che forza a usare sempre quelli). Con Flashstart sostanzialmente sul Mikrotik fai un redirect dei DNS verso quelli indicati da loro. Meglio se con un regola che lavora anche sulla porta che forza i DNS sempre su quelli di FlashStart. Diversamente, per rispondere all'altro post (chiedo scusa se mi accodo qui) devi crearti delle black list......non l'ho mai fatto ma in teoria potresti usare la funzione hot-spot per definire la blacklist (in realtà ho fatto il contrario e cioè permettere di uscire solo a certi IP conosciuti). Altrimenti se i siti non hanno mirror droppi direttamente gli IP... Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 22 agosto 2018 Segnala Share Inserita: 22 agosto 2018 Ho trovato una guida base http://www.flashstart.com/it/mikrotik/ Domani mattina magari mi metto e faccio un po' di prove... Lo script non è assolutamente un problema anche perché potrei aggiungerlo nel netwach che fa lo scambio tra le due wan Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 22 agosto 2018 Segnala Share Inserita: 22 agosto 2018 Se vuoi provare FlashStart senti i miei amici che sono loro rivenditori e hanno dei trial gratuiti per 1 o due mesi (non ricordo) Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 26 agosto 2018 Segnala Share Inserita: 26 agosto 2018 Ciao A tutti..grazie Andrea per il pensiero..ma mi hanno dato un trial Free dopo l'iscrizione al sito...ho fatto delle prove e funziona a dovere...sono riuscito ad impostarlo sull'interfaccia del dongle modo da filtrare solo quella.... slash76, ho trovato è provato uno script che lavora sulle cache del dns e crea un address list dei siti a cui vuoi applicare restrizioni....pare valido per filtrare giusto qualche sito...se devi filtrare molta roba ho paura che appesantisca il mikrotik...giusto se è un device base Link al commento Condividi su altri siti More sharing options...
slash76 Inserita: 30 agosto 2018 Autore Segnala Share Inserita: 30 agosto 2018 Grazie Abbio...Se vuoi condividere lo script, cosi lo proviamo anche noi....io in rete qualcosa che blocchi o meglio tenti di bloccare facebook e youtube l'ho visto ma non ci ho ancora messo mani..... Saluti Link al commento Condividi su altri siti More sharing options...
abbio90 Inserita: 1 settembre 2018 Segnala Share Inserita: 1 settembre 2018 In sostanza è questo...ti ho già messo gli address list di facebook e youtube... potresti anche non metterli...in una mano che navighi in quei siti ti aggiunge negli address list la risoluzione dei dns e nel giro di qulalche minuto interviene il firewall drop... /ip firewall filter add action=drop chain=forward comment=drop_DNS disabled=yes dst-address-list=\ restricted in-interface=bridge1 in-interface-list=all /ip firewall nat add action=redirect chain=dstnat comment=DNS dst-port=53 protocol=udp \ to-ports=53 /system scheduler add interval=2m name=Firewall_siti on-event="/ :foreach i in=[/ip dns cache all find where (name~"facebook" || name~"youtube") && (type="A") ] do={ :local tmpAddress [/ip dns cache get $i address]; delay delay-time=10ms #prevent script from using all cpu time :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={ :local cacheName [/ip dns cache get $i name] ; :log info ("added entry: $cacheName $tmpAddress"); /ip firewall address-list add address=$tmpAddress list=restricted comment=$cacheName; } } /ip firewall address-list add address=172.217.22.110 comment=youtube-ui.l.google.com list=restricted add address=172.217.23.142 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.238 comment=youtube-ui.l.google.com list=restricted add address=216.58.206.14 comment=youtube-ui.l.google.com list=restricted add address=216.58.208.46 comment=youtube-ui.l.google.com list=restricted add address=216.58.210.14 comment=youtube-ui.l.google.com list=restricted add address=216.58.214.46 comment=youtube-ui.l.google.com list=restricted add address=216.58.214.110 comment=youtube-ui.l.google.com list=restricted add address=172.217.16.174 comment=youtube-ui.l.google.com list=restricted add address=172.217.16.206 comment=youtube-ui.l.google.com list=restricted add address=172.217.18.14 comment=youtube-ui.l.google.com list=restricted add address=172.217.18.174 comment=youtube-ui.l.google.com list=restricted add address=172.217.21.238 comment=youtube-ui.l.google.com list=restricted add address=172.217.22.78 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.142 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.174 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.206 comment=youtube-ui.l.google.com list=restricted add address=172.217.23.78 comment=youtube-ui.l.google.com list=restricted add address=216.58.198.14 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.46 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.78 comment=youtube-ui.l.google.com list=restricted add address=216.58.205.110 comment=youtube-ui.l.google.com list=restricted add address=31.13.86.36 comment=facebook.com list=restricted add address=star.c10r.facebook.com list=restricted add address=31.13.86.4 comment=scontent.xx.fbcdn.net list=restricted add address=31.13.86.15 comment=video-mxp1-1.xx.fbcdn.net list=restricted add address=31.13.86.38 comment=star-z-mini.c10r.facebook.com list=restricted add address=216.58.198.46 comment=youtube-ui.l.google.com list=restricted add address=172.217.23.110 comment=youtube-ui.l.google.com list=restricted add address=31.13.86.34 comment=mqtt-mini.c10r.facebook.com list=restricted add address=31.13.86.170 comment=mqtt-p4.c10r.facebook.com list=restricted add address=31.13.86.37 comment=z-m.c10r.facebook.com list=restricted Link al commento Condividi su altri siti More sharing options...
Messaggi consigliati
Crea un account o accedi per commentare
Devi essere un utente per poter lasciare un commento
Crea un account
Registrati per un nuovo account nella nostra comunità. è facile!
Registra un nuovo accountAccedi
Hai già un account? Accedi qui.
Accedi ora