Перейти к содержимому
Калькуляторы

Контроль локальной сети

Поставлена такая задача. Роутер Microtik hex series можно ли выполнить  нижеследующие работы на нём? Если нет какой роутер подойдёт для этого?

1. Белый и чёрный список по IP компьютеров 
2. Установка ограничения по сайтам
3. Установка лимита по трафику по IP компьютеров 
4. Счётчик использования трафика по IP компа

 

Прошу помочь в решении данной задачи. 
 

Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Дилшод сказал:

1. Белый и чёрный список по IP компьютеров 

Да

 

3 часа назад, Дилшод сказал:

2. Установка ограничения по сайтам

Да, но это весьма затратная по ресурсам функция (фильтрация L7). HEX на ней потянет человек 40 (одно ядро в полку).

 

3 часа назад, Дилшод сказал:

3. Установка лимита по трафику по IP компьютеров 

В основном в форме костыля с очередями. Очереди сами по себе ресурсы едят, плюс при ребуте устройства счетчики обнуляются. Надо домкратить внешним биллингом, обсуждают в 

 

 

3 часа назад, Дилшод сказал:

4. Счётчик использования трафика по IP компа

Аналогично предыдущему пункту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях

 

Какой-то бред. пост как будто из 90-x.

А сейчас везде безлимит, и у всех сотрудников смартфоны, где они и сидят в соцсетях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, Дилшод сказал:

1. Белый и чёрный список по IP компьютеров 

Ну так если человек поменяет себе IP адрес, тогда что?

 

10 часов назад, Дилшод сказал:

2. Установка ограничения по сайтам

А если человек через https пойдет на них, или впн поднимет, или через прокси?

 

10 часов назад, Дилшод сказал:

3. Установка лимита по трафику по IP компьютеров 
4. Счётчик использования трафика по IP компа

Аналогично можно поменять IP адрес.

 

По сути запретить менять IP адрес можно путем привязки ARP записи при раздаче адресов по DHCP на микротике, но что мешает на компьютерах или смартфонах мак адрес поменять - им выдадут новый IP из списка и так далее. То есть все действия надо делать такие, которые действительно помогут, а не создадут видимость работы - когда микротик будет тормозить упираясь в 100 процентную загрузку процессора, а на левых сайтах с левых компьютеров как сидели, так и будут сидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Port security на свитчах до микрота еще =)

Кстати, в файрволе уже некоторое время списки адресов можно задавать доменными именами. Это вам к вопросу о белых и черных списках.

Но резолвятся эти адреса только в момент включения/ребута.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТС, я бы такое собирал на базе серверной платформы. Понятно что потребуются нормальные коммутаторы, которые смогут решить проблему подмены адреса. Но зато на тазике вы сможете и систему мониторинга поставить нормальную и статистику смотреть и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребята благодаря вашим советам я выполнил пункт 1-2  но пунк 3 всё ещё не выполнена. Я написал (нашёл скрипт который ограничить скорость по достижение определенного количество трафика но оно не работает) в чем может быть причина?

 

:local traf;
  /queue simple
   :if ([/queue simple find target-addresses=("192.168.15.35")] != "") do={
    :set traf [get [find target-addresses=("192.168.15.35")] total-bytes]
     :if ($traf  > 4294967296) do = {
      set [find target-addresses=("192.168.15.35")] max-limit= 64000/64000
  }
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По второму пункту для части ваших локальных подсетей\адресов использовать специализированные ДНС (блокирующие контент по своим тематическим спискам) разумнее, наверное, перенаправляя к ним пользовательские запросы на 53-й порт.

Кстати, вопрос тоже интересен, какая применительная практика сейчас в данной части на микротике, чтобы и сверх нагрузку на маршрутизатор не генерить и эффективно бороться с непрофильным контентом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть такой "костыль" как skyDNS, покупается подписка, указывается белый адрес роутера, который может пользовать их DNS. На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик), который уже отбращается на skyDNS. У них в настройках можно галочками выбрать необходимые категории фильтрации. Но при жесткой фильтрации это выглядит крайне убого - работает только их поисковик и практически ничего не открывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот про это я говорил.

 

15 минут назад, gard сказал:

На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик)

А если не для всех нужно вводить ограничения, а только для части подсетей\пользователей маршрутизатора? Тогда сам DNS сервер микротика не трогаем и только перенаправляем запросы на 53й порт от требуемых своих подсетей на адрес skyDNS?

 

Юзабилити работы страдает да, но при соблюдении баланса в жесткости подхода должно работать.

 

Бесплатный пример Яндекс.DNS, но там только пара категорий и расширенных тематических списков по фильтрации нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну со SkyDNS это не пройдет, потому как он будет обрабатывать dns-запросы только от ip-адреса микротика, за который уплачено.

Вы просто можете dstnat'ить только нужных абонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, gard сказал:

только от ip-адреса микротика, за который уплачено

Это само собой, а что именно не пройдет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну да, у нас же nat, что-то я заглючил.

ps: вам удобно будет использовать для правил, если их много, addres lis'ы.

pps: что-то подобное описывается тут.

Изменено пользователем gard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В этом случае нужно поставить некий сервер, на него некую программу фильтрации и блокировок, и пускать весь трафик через нее (ну или трафик с нужных IP адресов, которые требуется блокировать). Всякие там облачные решения тоже есть с туннелями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, mrrc сказал:

Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать.

Позволит, там вроде в недорогом ТП 5 адресов, но и второй адрес должен быть белым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.