Дилшод Опубликовано 28 января, 2021 · Жалоба Поставлена такая задача. Роутер Microtik hex series можно ли выполнить нижеследующие работы на нём? Если нет какой роутер подойдёт для этого? 1. Белый и чёрный список по IP компьютеров 2. Установка ограничения по сайтам 3. Установка лимита по трафику по IP компьютеров 4. Счётчик использования трафика по IP компа Прошу помочь в решении данной задачи. Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 28 января, 2021 · Жалоба Да, можно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 января, 2021 · Жалоба 3 часа назад, Дилшод сказал: 1. Белый и чёрный список по IP компьютеров Да 3 часа назад, Дилшод сказал: 2. Установка ограничения по сайтам Да, но это весьма затратная по ресурсам функция (фильтрация L7). HEX на ней потянет человек 40 (одно ядро в полку). 3 часа назад, Дилшод сказал: 3. Установка лимита по трафику по IP компьютеров В основном в форме костыля с очередями. Очереди сами по себе ресурсы едят, плюс при ребуте устройства счетчики обнуляются. Надо домкратить внешним биллингом, обсуждают в 3 часа назад, Дилшод сказал: 4. Счётчик использования трафика по IP компа Аналогично предыдущему пункту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maa1 Опубликовано 28 января, 2021 · Жалоба Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях Какой-то бред. пост как будто из 90-x. А сейчас везде безлимит, и у всех сотрудников смартфоны, где они и сидят в соцсетях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 января, 2021 · Жалоба 10 часов назад, Дилшод сказал: 1. Белый и чёрный список по IP компьютеров Ну так если человек поменяет себе IP адрес, тогда что? 10 часов назад, Дилшод сказал: 2. Установка ограничения по сайтам А если человек через https пойдет на них, или впн поднимет, или через прокси? 10 часов назад, Дилшод сказал: 3. Установка лимита по трафику по IP компьютеров 4. Счётчик использования трафика по IP компа Аналогично можно поменять IP адрес. По сути запретить менять IP адрес можно путем привязки ARP записи при раздаче адресов по DHCP на микротике, но что мешает на компьютерах или смартфонах мак адрес поменять - им выдадут новый IP из списка и так далее. То есть все действия надо делать такие, которые действительно помогут, а не создадут видимость работы - когда микротик будет тормозить упираясь в 100 процентную загрузку процессора, а на левых сайтах с левых компьютеров как сидели, так и будут сидеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 29 января, 2021 · Жалоба Port security на свитчах до микрота еще =) Кстати, в файрволе уже некоторое время списки адресов можно задавать доменными именами. Это вам к вопросу о белых и черных списках. Но резолвятся эти адреса только в момент включения/ребута. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 29 января, 2021 · Жалоба ТС, я бы такое собирал на базе серверной платформы. Понятно что потребуются нормальные коммутаторы, которые смогут решить проблему подмены адреса. Но зато на тазике вы сможете и систему мониторинга поставить нормальную и статистику смотреть и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дилшод Опубликовано 1 февраля, 2021 · Жалоба Ребята благодаря вашим советам я выполнил пункт 1-2 но пунк 3 всё ещё не выполнена. Я написал (нашёл скрипт который ограничить скорость по достижение определенного количество трафика но оно не работает) в чем может быть причина? :local traf; /queue simple :if ([/queue simple find target-addresses=("192.168.15.35")] != "") do={ :set traf [get [find target-addresses=("192.168.15.35")] total-bytes] :if ($traf > 4294967296) do = { set [find target-addresses=("192.168.15.35")] max-limit= 64000/64000 } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 3 февраля, 2021 · Жалоба По второму пункту для части ваших локальных подсетей\адресов использовать специализированные ДНС (блокирующие контент по своим тематическим спискам) разумнее, наверное, перенаправляя к ним пользовательские запросы на 53-й порт. Кстати, вопрос тоже интересен, какая применительная практика сейчас в данной части на микротике, чтобы и сверх нагрузку на маршрутизатор не генерить и эффективно бороться с непрофильным контентом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 4 февраля, 2021 · Жалоба Есть такой "костыль" как skyDNS, покупается подписка, указывается белый адрес роутера, который может пользовать их DNS. На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик), который уже отбращается на skyDNS. У них в настройках можно галочками выбрать необходимые категории фильтрации. Но при жесткой фильтрации это выглядит крайне убого - работает только их поисковик и практически ничего не открывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 4 февраля, 2021 · Жалоба Вот про это я говорил. 15 минут назад, gard сказал: На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик) А если не для всех нужно вводить ограничения, а только для части подсетей\пользователей маршрутизатора? Тогда сам DNS сервер микротика не трогаем и только перенаправляем запросы на 53й порт от требуемых своих подсетей на адрес skyDNS? Юзабилити работы страдает да, но при соблюдении баланса в жесткости подхода должно работать. Бесплатный пример Яндекс.DNS, но там только пара категорий и расширенных тематических списков по фильтрации нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 4 февраля, 2021 · Жалоба Ну со SkyDNS это не пройдет, потому как он будет обрабатывать dns-запросы только от ip-адреса микротика, за который уплачено. Вы просто можете dstnat'ить только нужных абонентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 4 февраля, 2021 · Жалоба 4 минуты назад, gard сказал: только от ip-адреса микротика, за который уплачено Это само собой, а что именно не пройдет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 4 февраля, 2021 (изменено) · Жалоба Ну да, у нас же nat, что-то я заглючил. ps: вам удобно будет использовать для правил, если их много, addres lis'ы. pps: что-то подобное описывается тут. Изменено 4 февраля, 2021 пользователем gard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 4 февраля, 2021 · Жалоба Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 февраля, 2021 · Жалоба В этом случае нужно поставить некий сервер, на него некую программу фильтрации и блокировок, и пускать весь трафик через нее (ну или трафик с нужных IP адресов, которые требуется блокировать). Всякие там облачные решения тоже есть с туннелями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 4 февраля, 2021 · Жалоба 1 час назад, mrrc сказал: Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать. Позволит, там вроде в недорогом ТП 5 адресов, но и второй адрес должен быть белым. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...