{"id":681,"date":"2014-02-22T00:34:51","date_gmt":"2014-02-22T03:34:51","guid":{"rendered":"http:\/\/www.viazap.com.br\/?p=681"},"modified":"2014-02-22T00:36:01","modified_gmt":"2014-02-22T03:36:01","slug":"web-proxy-mikrotik-com-controle-de-acesso","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=681","title":{"rendered":"Web proxy Mikrotik com controle de acesso"},"content":{"rendered":"\n\n\n\n\n\n\n\n\n\n
Passos iniciais<\/b><\/p>\n
A partir de agora temos um servidor\u00a0Mikrotik<\/i>\u00a0com web-proxy configurado de forma liberal, ou seja, sem nenhuma restri\u00e7\u00e3o para acesso a internet, tamb\u00e9m n\u00e3o importa muito se o seu web-proxy \u00e9 totalmente Mikrotik ou se funciona em paralelo, se voc\u00ea ainda n\u00e3o tem um web-proxy configurado, aconselho esta leitura antes de continuar lendo este artigo:<\/p>\n
Identificando sites por ip<\/b><\/p>\n
Bom, antes de configurar qualquer das situa\u00e7\u00f5es, precisamos identificar o ip de cada site que queremos bloquear ou liberar dependendo da ocasi\u00e3o, claro que essa \u00e9 uma tarefa simples, mas devo mencionar para que n\u00e3o haja d\u00favidas.Ent\u00e3o no Windows entramos no DOS e usamos o comando:<\/p>\n

ping www.site.com.br<\/b><\/p>\n

Olhe o exemplo de resposta:<\/p>\n

C:\\>ping www.uol.com.br<\/b><\/p>\n

Disparando contra www.uol.com.br [200.98.249.120] com 32 bytes de dados:<\/p>\n

Resposta de 200.98.249.120: bytes=32 tempo=16ms TTL=54
\nResposta de 200.98.249.120: bytes=32 tempo=16ms TTL=54
\nResposta de 200.98.249.120: bytes=32 tempo=16ms TTL=54
\nResposta de 200.98.249.120: bytes=32 tempo=16ms TTL=54<\/p>\n

Estat\u00edsticas do Ping para 200.98.249.120:
\nPacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% de perda),
\nAproximar um n\u00famero redondo de vezes em milissegundos:
\nM\u00ednimo = 16ms, M\u00e1ximo = 16ms, M\u00e9dia = 16ms<\/p>\n

No\u00a0Linux<\/a>\u00a0temos a resposta:<\/p>\n

$ ping www.uol.com.br<\/b>
\nPING www.uol.com.br (200.98.249.120) 56(84) bytes of data.
\n64 bytes from home.uol.com.br (200.98.249.120): icmp_seq=1 ttl=54 time=15.2 ms
\n64 bytes from home.uol.com.br (200.98.249.120): icmp_seq=2 ttl=54 time=15.3 ms
\n64 bytes from home.uol.com.br (200.98.249.120): icmp_seq=3 ttl=54 time=15.0 ms
\n64 bytes from home.uol.com.br (200.98.249.120): icmp_seq=4 ttl=54 time=15.0 ms<\/p>\n

— www.uol.com.br ping statistics —
\n4 packets transmitted, 4 received, 0% packet loss, time 3041ms
\nrtt min\/avg\/max\/mdev = 15.011\/15.161\/15.333\/0.201 ms<\/p>\n

Isso vale para qualquer p\u00e1gina que voc\u00ea queira identificar o ip, seja para liberar ou para bloquear.<\/p>\n

Na p\u00e1gina seguinte temos o primeiro m\u00e9todo, que chamarei de “blacklist”.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Configura\u00e7\u00f5es para blacklist (parte 1)<\/b><\/p>\n
Supondo que temos um web-proxy j\u00e1 configurado e voc\u00ea j\u00e1 separou uma lista de sites que quer bloquear, anotando os respectivos nomes e ips, vamos ao Winbox.V\u00e1 em IP > WEB PROXY > ACCESS<\/p>\n

Observe que as regras que voc\u00ea deveria ter para ter um proxy liberal s\u00e3o estas:<\/p>\n

\"\"<\/a>
\nFigura 2<\/center>As regras acima dizem ao proxy que a classe 192.168.0.0\/24 tem acesso completo e irrestrito, na \u00faltima regra bloqueamos todo resto ou qualquer outra tentativa de acesso ao proxy.<\/p>\n

Neste ponto seria muito interessante fazer um backup do seu sistema por completo, para que, se por algum motivo, voc\u00ea precise retornar o servidor como era, essa tarefa se torne f\u00e1cil.<\/p>\n

Comece removendo todas as regras nesta tela (figura 02) e adicione os sites que voc\u00ea deseja bloquear usando a seguinte sintaxe:<\/p>\n

# ip proxy access add dst-address=200.98.249.120 action=deny comment=Bloqueio_site_www.uol.com.br<\/b><\/p>\n

Repita o comando no NEW TERMINAL para cada site que voc\u00ea deseja bloquear usando a mesma sintaxe, alterando apenas os ips e nomes correspondentes.<\/p>\n

O visual da tabela de acesso do proxy dever\u00e1 fica semelhante a figura abaixo:<\/p>\n

\"\"<\/a>
\nFigura 3<\/center>Vamos a pr\u00f3xima p\u00e1gina.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n
Configura\u00e7\u00f5es para blacklist (parte 2)<\/b><\/p>\n
Agora que voc\u00ea j\u00e1 tem todos os sites que deseja bloqueados, precisamos liberar o resto.No NEW TERMINAL digite a seguinte regra:<\/p>\n

# ip proxy access add src-address=192.168.0.0\/24 action=allow comment=Libera_o_restante<\/b><\/p>\n

Depois digite a regra para bloquear qualquer outra coisa que n\u00e3o esteja na regra de libera\u00e7\u00e3o:<\/p>\n

# ip proxy access add action=deny comment=Bloqueia_tudo<\/b><\/p>\n

O visual do seu tabela de acesso dever\u00e1 ficar semelhante ao da figura abaixo:<\/p>\n

\"\"<\/a>
\nFigura 4<\/center>A disposi\u00e7\u00e3o das \u00faltimas duas regras \u00e9 de extrema import\u00e2ncia, elas tem que ser as \u00faltimas, como demonstrado na figura acima, j\u00e1 as regras de bloqueios n\u00e3o precisam de ordena\u00e7\u00e3o.<\/p>\n

Pronto!<\/p>\n

Dessa forma seus clientes acessam qualquer p\u00e1gina na internet, menos as que voc\u00ea bloqueou.<\/p>\n

Agora vejamos o o contr\u00e1rio disso na pr\u00f3xima p\u00e1gina.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Configura\u00e7\u00f5es para whitelist (parte 1)<\/b><\/p>\n
Agora vamos fazer o contr\u00e1rio, vamos liberar alguns sites somente e bloquear o resto.Neste ponto seria muito interessante fazer um backup do seu sistema por completo, para que, se por algum motivo, voc\u00ea precise retornar o servidor como era essa tarefa se torne f\u00e1cil.<\/p>\n

V\u00e1 em IP > WEB PROXY > ACCESS<\/p>\n

Comece removendo todas as regras nesta tela (figura 02) e adicione os sites que voc\u00ea deseja liberar usando a seguinte sintaxe:<\/p>\n

# ip proxy access add dst-address=200.98.249.120 action=allow comment=Liberacao_site_www.uol.com.br<\/b><\/p>\n

Repita o comando no NEW TERMINAL para cada site que voc\u00ea deseja liberar usando a mesma sintaxe alterando apenas os ips e nomes correspondentes.<\/p>\n

O visual da tabela de acesso do proxy dever\u00e1 fica semelhante a figura abaixo:<\/p>\n

\"\"<\/a>
\nFigura 5<\/center>Vamos a pr\u00f3xima p\u00e1gina.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n
Configura\u00e7\u00f5es para whitelist (parte 2)<\/b><\/p>\n
Agora que voc\u00ea j\u00e1 tem todos os sites que deseja liberados, precisamos bloquear o resto.No NEW TERMINAL digite a seguinte regra:<\/p>\n

# ip proxy access add action=deny comment=Bloqueia_tudo<\/b>\u00a0O visual do seu tabela de acesso dever\u00e1 ficar semelhante ao da figura abaixo<\/p>\n

\"\"<\/a>
\nFigura 6<\/center>A disposi\u00e7\u00e3o da \u00faltima regra \u00e9 de extrema import\u00e2ncia, ela tem que ser a \u00faltima como demonstrado na figura acima, j\u00e1 as regras de libera\u00e7\u00e3o n\u00e3o precisam de ordena\u00e7\u00e3o.<\/p>\n

Pronto!<\/p>\n

Dessa forma seus clientes acessam somente as p\u00e1ginas previamente liberadas e n\u00e3o tem qualquer outro tipo de acesso.<\/p>\n

Na pr\u00f3xima p\u00e1gina temos importantes considera\u00e7\u00f5es que merecem sua aten\u00e7\u00e3o.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Controlando clientes individualmente<\/b><\/p>\n
Note que nas duas situa\u00e7\u00f5es, nunca usamos o campo SRC-ADDRESS na hora de realizar os bloqueios ou libera\u00e7\u00f5es dependendo da situa\u00e7\u00e3o.Mas o fato \u00e9 que podemos us\u00e1-los para, por exemplo, aplicarmos a regra somente a um ip especifico da rede interna, ou seja, liberando alguns sites para cada ip da rede interna de forma individual na op\u00e7\u00e3o whitelist ou bloqueando alguns sites para cada ip da rede interna de forma individual na op\u00e7\u00e3o blacklist.<\/p>\n

Veja o exemplo:<\/p>\n

# ip proxy access add src-address 192.168.0.133 dst-address=200.98.249.120 action=deny comment=Bloqueio_site_www.uol.com.br_para_o_jo\u00e3o<\/b><\/p>\n

A regra acima diz que o ip 192.168.0.133 n\u00e3o pode acessar o site da uol e o coment\u00e1rio dela indica que a regra \u00e9 para o usu\u00e1rio “jo\u00e3o”.<\/p>\n

Claro que abaixo dela temos as duas regras citadas na\u00a0p\u00e1gina 4<\/a>\u00a0deste artigo, que liberam tudo que n\u00e3o foi bloqueado acima das mesmas.<\/p>\n

Veja outro exemplo:<\/p>\n

# ip proxy access add src-address 192.168.0.133 dst-address=200.98.249.120 action=allow comment=Liberacao_site_www.uol.com.br_para_Joao<\/b><\/p>\n

A regra acima diz que o ip 192.168.0.133 pode acessar o site da uol e o coment\u00e1rio dela indica que a regra \u00e9 para o usu\u00e1rio “jo\u00e3o”.<\/p>\n

Tamb\u00e9m no caso abaixo desta regra temos as duas regras citadas na\u00a0p\u00e1gina 6<\/a>\u00a0deste artigo que bloqueiam tudo que n\u00e3o foi liberado acima das mesmas.<\/p>\n

Desta forma voc\u00ea consegue definir de forma individual, ou seja, por usu\u00e1rio, o que ele vai ou n\u00e3o acessar na web.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Considera\u00e7\u00f5es finais<\/b><\/p>\n
Uma dica importante a esta altura \u00e9 que seu sistema de autentica\u00e7\u00e3o, seja ele portal captive (hotspot) ou pppoe, fa\u00e7a controle de usu\u00e1rio+senha+MAC, evitando assim os usu\u00e1rios da rede interna trocarem os ips das m\u00e1quinas, conseguindo assim privil\u00e9gios que n\u00e3o foram concedidos e eventualmente “bagun\u00e7ando a rede”, sendo assim voc\u00ea ter\u00e1 um bom n\u00edvel de seguran\u00e7a interna.Este artigo demonstra como fazer bloqueios de acessos a sites, por\u00e9m existem v\u00e1rios outros tipos de bloqueios que podem ser realizados, por exemplo: p2p, comunicadores instant\u00e2neos (msn, icq) etc, mas estes devem ser bloqueados no filtro do firewall e \u00e9 assunto para outra dica ou artigo.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"

Passos iniciais A partir de agora temos um servidor\u00a0Mikrotik\u00a0com web-proxy configurado de forma liberal, ou seja, sem nenhuma restri\u00e7\u00e3o para acesso a internet, tamb\u00e9m n\u00e3o importa muito se o seu web-proxy \u00e9 totalmente Mikrotik ou se funciona em paralelo, se voc\u00ea ainda n\u00e3o tem um web-proxy configurado, aconselho esta leitura antes de continuar lendo este […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,42,415],"tags":[418,297,87,416,417],"class_list":["post-681","post","type-post","status-publish","format-standard","hentry","category-viazap","category-leitura-recomendada","category-mikrotik-2","tag-configuracao-de-webproxy-no-mikrotik","tag-mikrotik","tag-proxy-2","tag-web","tag-webproxy"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/681","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=681"}],"version-history":[{"count":3,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/681\/revisions"}],"predecessor-version":[{"id":684,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/681\/revisions\/684"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=681"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}