Jako administratorzy sieci musimy pilnować co robią nasi użytkownicy. Samowolka nie jest mile widziana:) Czasami staniemy przed zadaniem zablokowania dostępu do konkretnej strony z całej podsieci, a może dla konkretnego adresu IP. Na szczęście Mikrotik ma rozwiązanie także na to. Dzięki włączeniu usługi Web Proxy możemy dowolnie blokować dostęp do stron www, czy też nawet blokować możliwość pobierania konkretnych rozszerzeń(.pdf, .rar, .zip) etc.
Przygotowanie Web Proxy
Bardzo ważna rzeczą jest ustawienie cache na Web Proxy. Nie należy wykorzystywać wbudowanej pamięci. Do tego celu najlepiej podłączyć dowolny USB HDD, może być, to nawet pendrive. W moim przypadku wykorzystam pendriva 8GB. Po podłączeniu urządzenia klikamy na System->Disk.
Teraz przechodzimy do konfiguracji Web Proxy w tym celu klikamy na IP->Web Proxy
W nowym oknie ustawiamy:
- Enable: zaznaczamy na aktywne
- Port: może zostać 8080
- Cache Administrator: podajemy nasz adres e-mail
- Cache on Disk: zaznaczamy na aktywne
- Cache Path: wybieramy disk1
Całość powinna wyglądać jak na obrazie poniżej:
Jeżeli chcemy spersonalizować widok strony blokowania, musimy kliknąć na przycisk Reset HTML, a następnie Yes
Konfiguracja Firewall’a
Teraz musimy przekierować cały ruch http(port 80) albo https(443) na nasze Web Proxy, czyli na port 8080. Przechodzimy na IP->Firewall i dodajemy nową regułę w zakładce NAT
Ustawiamy:
- Chain: wybieramy dstnat
- Protocol: tcp
- Dst. Port: wpisujemy 80
Przechodzimy na zakładkę Action i ustawiamy
- Action: wybieramy redirect
- To Ports: wybieramy port Web Proxy, w tym przypadku 8080
Całość powinna wyglądać jak na obrazku poniżej:
Dodanie blokowanej strony
Większość konfiguracji już za nami, teraz dodajemy stronę jaką chcemy zablokować. Wracamy do zakładki Web Proxy i klikamy w Access
W nowym oknie uzupełniamy:
- Src. Address: Podajemy adres, bądź całą podsieć, której ma dotyczyć blokada
- Dst. Host: Adres strony, którą chcemy zablokować
- Action: ustawiamy na deny
Z innych przydanych opcji warta uwagi jest Redirected To:, czyli możemy przekierować użytkowania na inna stronę niż wpisał oraz Path, czyli możliwość blokowania pobierania zdefiniowanych rozszerzeń(.zip, .pdf, .pif) etc.
Personalizacja widoku strony
Ponieważ strona jaką zobaczy użytkownik jest troszkę mało przyjazna możemy ją dowolnie edytować. W tym celu musi zedytować plik error.html, który znajduje się w katalogu webproxy.
Przyda się podstawowa wiedza z zakresu html’a i css’a.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S
Witam,
niestety ale https jakoś nie mogę zablokować a konkretnie facebooka. Czy jest możliwość zablokowania tej strony na mikrotiku?
Niestety web-proxy nie zadziała z https, pozostaje blokowanie po adresie ip, czyli reguła drop w firewallu, bądź Layer7(ale to mocno obciąża CPU).
Witam
mam mietka „L009uigs-2haxd” wrsja softu to: 7.12.2, zrobilem wszsytko tak jak podales, krok po kroku i niestety nic nie moge zblokowac, ani wp.pl ani onet.pl a chcialem tylko youtuba zablokowac.
cos sie pozmienialo wzgledem wersji softu ?
Bardziej problem dotyczy https, ponieważ web proxy z tym sobie nie poradzi. Postaram się przygotować jakieś nowsze rozwiązanie.