Дилшод Posted January 28, 2021 Posted January 28, 2021 Поставлена такая задача. Роутер Microtik hex series можно ли выполнить нижеследующие работы на нём? Если нет какой роутер подойдёт для этого? 1. Белый и чёрный список по IP компьютеров 2. Установка ограничения по сайтам 3. Установка лимита по трафику по IP компьютеров 4. Счётчик использования трафика по IP компа Прошу помочь в решении данной задачи. Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях Вставить ник Quote
jffulcrum Posted January 28, 2021 Posted January 28, 2021 3 часа назад, Дилшод сказал: 1. Белый и чёрный список по IP компьютеров Да 3 часа назад, Дилшод сказал: 2. Установка ограничения по сайтам Да, но это весьма затратная по ресурсам функция (фильтрация L7). HEX на ней потянет человек 40 (одно ядро в полку). 3 часа назад, Дилшод сказал: 3. Установка лимита по трафику по IP компьютеров В основном в форме костыля с очередями. Очереди сами по себе ресурсы едят, плюс при ребуте устройства счетчики обнуляются. Надо домкратить внешним биллингом, обсуждают в 3 часа назад, Дилшод сказал: 4. Счётчик использования трафика по IP компа Аналогично предыдущему пункту. Вставить ник Quote
maa1 Posted January 28, 2021 Posted January 28, 2021 Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях Какой-то бред. пост как будто из 90-x. А сейчас везде безлимит, и у всех сотрудников смартфоны, где они и сидят в соцсетях. Вставить ник Quote
Saab95 Posted January 28, 2021 Posted January 28, 2021 10 часов назад, Дилшод сказал: 1. Белый и чёрный список по IP компьютеров Ну так если человек поменяет себе IP адрес, тогда что? 10 часов назад, Дилшод сказал: 2. Установка ограничения по сайтам А если человек через https пойдет на них, или впн поднимет, или через прокси? 10 часов назад, Дилшод сказал: 3. Установка лимита по трафику по IP компьютеров 4. Счётчик использования трафика по IP компа Аналогично можно поменять IP адрес. По сути запретить менять IP адрес можно путем привязки ARP записи при раздаче адресов по DHCP на микротике, но что мешает на компьютерах или смартфонах мак адрес поменять - им выдадут новый IP из списка и так далее. То есть все действия надо делать такие, которые действительно помогут, а не создадут видимость работы - когда микротик будет тормозить упираясь в 100 процентную загрузку процессора, а на левых сайтах с левых компьютеров как сидели, так и будут сидеть. Вставить ник Quote
gard Posted January 29, 2021 Posted January 29, 2021 Port security на свитчах до микрота еще =) Кстати, в файрволе уже некоторое время списки адресов можно задавать доменными именами. Это вам к вопросу о белых и черных списках. Но резолвятся эти адреса только в момент включения/ребута. Вставить ник Quote
VolanD666 Posted January 29, 2021 Posted January 29, 2021 ТС, я бы такое собирал на базе серверной платформы. Понятно что потребуются нормальные коммутаторы, которые смогут решить проблему подмены адреса. Но зато на тазике вы сможете и систему мониторинга поставить нормальную и статистику смотреть и т.п. Вставить ник Quote
Дилшод Posted February 1, 2021 Author Posted February 1, 2021 Ребята благодаря вашим советам я выполнил пункт 1-2 но пунк 3 всё ещё не выполнена. Я написал (нашёл скрипт который ограничить скорость по достижение определенного количество трафика но оно не работает) в чем может быть причина? :local traf; /queue simple :if ([/queue simple find target-addresses=("192.168.15.35")] != "") do={ :set traf [get [find target-addresses=("192.168.15.35")] total-bytes] :if ($traf > 4294967296) do = { set [find target-addresses=("192.168.15.35")] max-limit= 64000/64000 } } Вставить ник Quote
mrrc Posted February 3, 2021 Posted February 3, 2021 По второму пункту для части ваших локальных подсетей\адресов использовать специализированные ДНС (блокирующие контент по своим тематическим спискам) разумнее, наверное, перенаправляя к ним пользовательские запросы на 53-й порт. Кстати, вопрос тоже интересен, какая применительная практика сейчас в данной части на микротике, чтобы и сверх нагрузку на маршрутизатор не генерить и эффективно бороться с непрофильным контентом? Вставить ник Quote
gard Posted February 4, 2021 Posted February 4, 2021 Есть такой "костыль" как skyDNS, покупается подписка, указывается белый адрес роутера, который может пользовать их DNS. На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик), который уже отбращается на skyDNS. У них в настройках можно галочками выбрать необходимые категории фильтрации. Но при жесткой фильтрации это выглядит крайне убого - работает только их поисковик и практически ничего не открывается. Вставить ник Quote
mrrc Posted February 4, 2021 Posted February 4, 2021 Вот про это я говорил. 15 минут назад, gard сказал: На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик) А если не для всех нужно вводить ограничения, а только для части подсетей\пользователей маршрутизатора? Тогда сам DNS сервер микротика не трогаем и только перенаправляем запросы на 53й порт от требуемых своих подсетей на адрес skyDNS? Юзабилити работы страдает да, но при соблюдении баланса в жесткости подхода должно работать. Бесплатный пример Яндекс.DNS, но там только пара категорий и расширенных тематических списков по фильтрации нет. Вставить ник Quote
gard Posted February 4, 2021 Posted February 4, 2021 Ну со SkyDNS это не пройдет, потому как он будет обрабатывать dns-запросы только от ip-адреса микротика, за который уплачено. Вы просто можете dstnat'ить только нужных абонентов. Вставить ник Quote
mrrc Posted February 4, 2021 Posted February 4, 2021 4 минуты назад, gard сказал: только от ip-адреса микротика, за который уплачено Это само собой, а что именно не пройдет? Вставить ник Quote
gard Posted February 4, 2021 Posted February 4, 2021 (edited) Ну да, у нас же nat, что-то я заглючил. ps: вам удобно будет использовать для правил, если их много, addres lis'ы. pps: что-то подобное описывается тут. Edited February 4, 2021 by gard Вставить ник Quote
mrrc Posted February 4, 2021 Posted February 4, 2021 Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать. Вставить ник Quote
Saab95 Posted February 4, 2021 Posted February 4, 2021 В этом случае нужно поставить некий сервер, на него некую программу фильтрации и блокировок, и пускать весь трафик через нее (ну или трафик с нужных IP адресов, которые требуется блокировать). Всякие там облачные решения тоже есть с туннелями. Вставить ник Quote
gard Posted February 4, 2021 Posted February 4, 2021 1 час назад, mrrc сказал: Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать. Позволит, там вроде в недорогом ТП 5 адресов, но и второй адрес должен быть белым. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.