Ir al contenido

3 mayo, 2011

2

Proxy transparente para control de acceso con Mikrotik

Configurar un proxy transparente con Mikrotik para realizar control de acceso es extremadamente simple. La primer acción a tomar es habilitar el servicio en el equipo e inmediatamente restringir el acceso al puerto donde se ejecuta el proxy, para evitar que el equipo sea utilizado por usuarios no autorizados. El paso siguiente es crear una regla de NAT que redirija todo el tráfico destinado al puerto 80 al puerto donde esté escuchando el proxy. Esta regla es precisamente la que hace que el proxy sea transparente.

[admin@MikroTik] > ip proxy set enabled=yes port=8080
[admin@MikroTik] > ip firewall filter add chain=input action=accept protocol=tcp dst-port=8080 src-address=192.168.1.0/24 comment="Proxy para LAN"
[admin@MikroTik] > ip firewall nat add in-interface=LAN dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat

Finalmente, se deben escribir las reglas para restringir los sitios que se desee. En este caso se permiten todos los sitios con excepción de los que están explícitamente denegados, que son Facebook y Twitter.

[admin@MikroTik] > ip proxy access add dst-host=www.facebook.com action=deny
[admin@MikroTik] > ip proxy access add dst-host=twitter.com action=deny

Posts relacionados:

Lee más en Redes
, , ,
2 Comentarios Publica un comentario
  1. Pedro Botello
    jun 15 2011

    Buen dia estimados, les envio un saludo desde monterrey mexico,

    Aprovecho para felicitarlos por la informacion relacionada que tienen en el sitio, me ha sido de mucho valor.

    Quiero hacer un comentario acerca de este post de la habilitacion del web-proxy, para evitar que les suceda a otros usuarios lo que me sucedio al habilitarlo a mi algun tiempo atras.

    Es preciso que se cree una regla en el chain=input indicando la interface-in=wan seleccionando el puerto=8080 y protocolo=tcp, la accion=drop, esto para proteger la interface wan de IP RELAYING.

    Espero les sea de utlidad esta modesta aportacion, un saludo!

  2. david
    dic 31 2011

    No se debe Poner CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc…)
    Dos reglas se deben ser colocadas en avance “CACHE” do Web-Proxy para tal efecto
    IP / WEB-PROXY / CACHE
    Crear una nueva regla (boton “+”)
    add url=”:cgi-bin \\?” action=deny comment=”no cache dynamic http pages” \ disabled=no
    add url=”https://” action=deny comment=”no cache dynamic https pages” \ disabled=no

¿Qué opinas?, introduce un comentario.

Debes ser conectado para comentar.