Jump to content

Контроль локальной сети

Поставлена такая задача. Роутер Microtik hex series можно ли выполнить  нижеследующие работы на нём? Если нет какой роутер подойдёт для этого?

1. Белый и чёрный список по IP компьютеров 
2. Установка ограничения по сайтам
3. Установка лимита по трафику по IP компьютеров 
4. Счётчик использования трафика по IP компа

 

Прошу помочь в решении данной задачи. 
 

Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях

Share this post


Link to post
Share on other sites

3 часа назад, Дилшод сказал:

1. Белый и чёрный список по IP компьютеров 

Да

 

3 часа назад, Дилшод сказал:

2. Установка ограничения по сайтам

Да, но это весьма затратная по ресурсам функция (фильтрация L7). HEX на ней потянет человек 40 (одно ядро в полку).

 

3 часа назад, Дилшод сказал:

3. Установка лимита по трафику по IP компьютеров 

В основном в форме костыля с очередями. Очереди сами по себе ресурсы едят, плюс при ребуте устройства счетчики обнуляются. Надо домкратить внешним биллингом, обсуждают в 

 

 

3 часа назад, Дилшод сказал:

4. Счётчик использования трафика по IP компа

Аналогично предыдущему пункту.

Share this post


Link to post
Share on other sites

Работа должна выполнятся в локальной сети который подключен к провайдеру а интернет не безлимитный. Вот по этому нужно проконтролировать трафик также нужно чтобы сотрудники занимались работой а не сидели в соц-сетях

 

Какой-то бред. пост как будто из 90-x.

А сейчас везде безлимит, и у всех сотрудников смартфоны, где они и сидят в соцсетях.

Share this post


Link to post
Share on other sites

10 часов назад, Дилшод сказал:

1. Белый и чёрный список по IP компьютеров 

Ну так если человек поменяет себе IP адрес, тогда что?

 

10 часов назад, Дилшод сказал:

2. Установка ограничения по сайтам

А если человек через https пойдет на них, или впн поднимет, или через прокси?

 

10 часов назад, Дилшод сказал:

3. Установка лимита по трафику по IP компьютеров 
4. Счётчик использования трафика по IP компа

Аналогично можно поменять IP адрес.

 

По сути запретить менять IP адрес можно путем привязки ARP записи при раздаче адресов по DHCP на микротике, но что мешает на компьютерах или смартфонах мак адрес поменять - им выдадут новый IP из списка и так далее. То есть все действия надо делать такие, которые действительно помогут, а не создадут видимость работы - когда микротик будет тормозить упираясь в 100 процентную загрузку процессора, а на левых сайтах с левых компьютеров как сидели, так и будут сидеть.

Share this post


Link to post
Share on other sites

Port security на свитчах до микрота еще =)

Кстати, в файрволе уже некоторое время списки адресов можно задавать доменными именами. Это вам к вопросу о белых и черных списках.

Но резолвятся эти адреса только в момент включения/ребута.

Share this post


Link to post
Share on other sites

ТС, я бы такое собирал на базе серверной платформы. Понятно что потребуются нормальные коммутаторы, которые смогут решить проблему подмены адреса. Но зато на тазике вы сможете и систему мониторинга поставить нормальную и статистику смотреть и т.п.

Share this post


Link to post
Share on other sites

Ребята благодаря вашим советам я выполнил пункт 1-2  но пунк 3 всё ещё не выполнена. Я написал (нашёл скрипт который ограничить скорость по достижение определенного количество трафика но оно не работает) в чем может быть причина?

 

:local traf;
  /queue simple
   :if ([/queue simple find target-addresses=("192.168.15.35")] != "") do={
    :set traf [get [find target-addresses=("192.168.15.35")] total-bytes]
     :if ($traf  > 4294967296) do = {
      set [find target-addresses=("192.168.15.35")] max-limit= 64000/64000
  }
}

Share this post


Link to post
Share on other sites

По второму пункту для части ваших локальных подсетей\адресов использовать специализированные ДНС (блокирующие контент по своим тематическим спискам) разумнее, наверное, перенаправляя к ним пользовательские запросы на 53-й порт.

Кстати, вопрос тоже интересен, какая применительная практика сейчас в данной части на микротике, чтобы и сверх нагрузку на маршрутизатор не генерить и эффективно бороться с непрофильным контентом?

Share this post


Link to post
Share on other sites

Есть такой "костыль" как skyDNS, покупается подписка, указывается белый адрес роутера, который может пользовать их DNS. На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик), который уже отбращается на skyDNS. У них в настройках можно галочками выбрать необходимые категории фильтрации. Но при жесткой фильтрации это выглядит крайне убого - работает только их поисковик и практически ничего не открывается.

Share this post


Link to post
Share on other sites

Вот про это я говорил.

 

15 минут назад, gard сказал:

На самом микротике включается DNS сервер для клиентов локальной сети, где указывается купленный DNS от skyDNS. Все запросы на 53й порт dtsnat'ятся на себя (на микротик)

А если не для всех нужно вводить ограничения, а только для части подсетей\пользователей маршрутизатора? Тогда сам DNS сервер микротика не трогаем и только перенаправляем запросы на 53й порт от требуемых своих подсетей на адрес skyDNS?

 

Юзабилити работы страдает да, но при соблюдении баланса в жесткости подхода должно работать.

 

Бесплатный пример Яндекс.DNS, но там только пара категорий и расширенных тематических списков по фильтрации нет.

Share this post


Link to post
Share on other sites

Ну со SkyDNS это не пройдет, потому как он будет обрабатывать dns-запросы только от ip-адреса микротика, за который уплачено.

Вы просто можете dstnat'ить только нужных абонентов.

Share this post


Link to post
Share on other sites

4 минуты назад, gard сказал:

только от ip-адреса микротика, за который уплачено

Это само собой, а что именно не пройдет?

Share this post


Link to post
Share on other sites

Ну да, у нас же nat, что-то я заглючил.

ps: вам удобно будет использовать для правил, если их много, addres lis'ы.

pps: что-то подобное описывается тут.

Edited by gard

Share this post


Link to post
Share on other sites

Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать.

Share this post


Link to post
Share on other sites

В этом случае нужно поставить некий сервер, на него некую программу фильтрации и блокировок, и пускать весь трафик через нее (ну или трафик с нужных IP адресов, которые требуется блокировать). Всякие там облачные решения тоже есть с туннелями.

Share this post


Link to post
Share on other sites

1 час назад, mrrc сказал:

Но вот если через двух провайдеров подключение и есть (авто)переключение с одного канала на второй, у целевых контролируемых пользователей доступ отвалится. SkyDNS в рамках учетной записи более одного внешнего src IP не позволит прописать.

Позволит, там вроде в недорогом ТП 5 адресов, но и второй адрес должен быть белым.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.