Omezení studentské sítě - Prosím o pomoc

[TerenceHill]

Dobrý den,

žádám vás o pomoc s nastavením Mikrotiku, pracuji ve škole jako běžný učitel a jelikož občas něco rozbitého napravím, tak mne hned pasovali do role IT mana . Náš skutečný člověk co má na starosti IT je bohužel dlouhodobě nemocný a je velmi pravděpodobné že se do začátku roku nestihne vrátit.

Nyní je nutné nastavit pravidlo, aby se studenti nemohli dostat ze školní sítě nikam jinam než na stránky školy. Mikrotika vidím poprvé a jsem z toho lehce zmatený. Je mi jasné že musím vytvořit pravidlo co zakáže všechnu komunikaci na TCP protokolu a udělat pouze vyjímku na náš web, který leží na hostingu. Bohužel si nevím rady s nastavením, co je source adress, destination adress atd. Další problém nejspíše nastane, že pokuď povolím pouze náš web, tak na něm nepůjdou featury které náš web využívá. Myslím tím Google Analytics atd. Toto bych potřeboval aby fungovalo.

Můžeme mi prosím poradit? Děkuji moc

[Stanislav Hrncir]

Webproxy a redirect všeho z určitého rozsahu adres na stránky školy

[TerenceHill]

To zní moc dobře, ale prosil jsem o něco víc než jen strohé nazvání funkcionality která toto dokáže zařídit. Chápu že mi nemůžete naspat přesný postup, nicméně nyní jsem z toho ještě více zmaten

[aliney]

pokud chapu zadani slovni ulohy dobre pane uciteli, pak by se dalo pouzit neco, co pouzivam na neplatice, lehce modifikovano na studenty...

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=forward comment="==================== ZLI STUDENTI ===================" disabled=yes dst-address=XX.XX.XX.XX port=80 protocol=tcp \
    src-address-list=student
add action=accept chain=forward comment="" disabled=yes dst-address=XX.XX.XX.XX port=443 protocol=tcp \
    src-address-list=student
add action=accept chain=forward comment="" disabled=yes port=53 protocol=udp src-address-list=student
add action=accept chain=forward comment="" disabled=yes port=53 protocol=tcp src-address-list=student
add action=drop chain=forward comment="" disabled=yes src-address-list=student
/ip firewall nat
add action=dst-nat chain=dstnat comment="STUDENT REDIRECT" disabled=\
no port=80 protocol=tcp src-address-list=student to-addresses=\
XX.XX.XX.XX to-ports=80
/ip firewall address-list
add address=10.10.10.0/24 disabled=no list=student

kod se vklada do New Terminal ... (ctrl+v nefunguje korektne, je treba pravy klik a paste)

Za promennou XX.XX.XX.XX si 3x dosadime IP adresu webu skoly... s "featurama" bych si starosti nedelal, protoze ty se vykonavaji na strane webserveru a ne u zaka na pocitaci, takze bezet by melo vse.

Druha promenna, kterou si musime dosadit jsou zdrojove adresy pocitacu, ktere se maji blokovat.
To je posledni radek add address=10.10.10.0/24 ... rozsahy pocitacu, ktere maji byt blokovany. 10.10.10.1 az 10.10.10.254
Nebo je do adres listu zadavat klidne po jedne add address=10.10.10.8 apod...

Vysledek: cokoli co student zada do prohlizece (facebook, youporn, apod...) ho presmeruje na stranku XX.XX.XX.XX , vse ostatni ICQ, skype apod neprojde nikam. Pouze web.
Pravidla je potreba chytnout a posunout ve FIREWALL / FILTER a FIREWALL / NAT uuuuplne nahoru...

[TerenceHill]

Super děkuju moc za pomoc a pochopení .

Dle tvého návodu jsem zadal kód do konzole a pravidla jsem nastavil na "enable" a posunul je na nahoru. Zatím to zkouším pouze s mojí adresou co mi přidělil DHCP server.

Opravdu se nedostanu nikam jinam než na adresu školy, což je skvělé. Nicméně mi nefunguje ten Redirect Pokuď dám jinou stránku než školy, tak mi skočí hláška Apache že nemám přístup na tyto stránky. Je zde potřeba něco ještě nastavit? Pravidlo v NAT jsem samozřejmně také zapnul.

Další věc které jsem si všimnul, že se nyní na stránkách nezobrazuje Google Translator. Ale stím si asi už poradím, zjisím IP a přidám ho do pravidel stejně jako jsou stránky školy že?

Děkuju

[hapi]

Opravdu se nedostanu nikam jinam než na adresu školy, což je skvělé. Nicméně mi nefunguje ten Redirect Pokuď dám jinou stránku než školy, tak mi skočí hláška Apache že nemám přístup na tyto stránky. Je zde potřeba něco ještě nastavit? Pravidlo v NAT jsem samozřejmně také zapnul.

protože si měl poslechnout mého jmenovce Standu.

navíc jsem to tu nedavno vysvětloval proč nejde to co si udělal.

[aliney]

mam par vterin, tak jen v rychlosti...
~ kdyz zadas IP primo do prohlizece vyskoci ta hlaska taky?
~ pravidlo v NAT je vlastne k tomu, aby "cokoli co zadam, pujde na skolu", tzn. pokud ho das disable, tak ti skola pojede dal, ale zadas neco jineho a to "proste nenajede", nebude to mit ten efekt, ze te to samo hodi na skolni web, coz u neplaticu zase potrebuji, aby pokazde videli jen moji hlasku jinak by mi volali, z enet proste nejede apod., takze teoreticky Ti staci DROP all s vyjimkou IP skoly, klidne i bez portu (80,443)... s exkludaci googlu bude trosku problem asi, maji velky adresni blok 173.194.0.0/16 a patri pod ne napriklad i Youtube a konkretni IP transatoru se
a) cas od casu meni
b) blbe shaneji

verze s proxynou bude vyladitelnejsi, ale pro nezkuseneho s mikrotikem to bude dobra adventura

[TerenceHill]

Ano pokuď zadám pouze IP tak vyskakuje stejná hláška.

[TerenceHill]

Zkoušel jsem si nyní zapnut web proxy, jenom abych to vyzkoušel. A pokuď si nastavím Redirect na stránky školy. A poté na ně jdu tak mi prohlížeč vyhodí hlášku: "Tato stránka obsahuje smyčku přesměrování" .

Ve Firewall jsem nastavil "dstnat" v source s mojí IP a action na Redirect 8080. Zapnul jsem Web proxy a nastavil na allow naší adresu a na deny cokoliv co nejsou stránky školy

EDIT: Písmenka

[tom-tom]

Je to takový funkční základ..

Kód: Vybrat vše

/ip proxy set enabled=yes port=8080
/ip proxy access add action=allow dst-host=www.strankyskoly.cz
/ip proxy access add action=deny redirect-to=www.strankyskoly.cz
/ip firewall nat add chain=dstnat src-address=X.X.X.X/X protocol=tcp action=redirect to-ports=8080


První řádek zapíná proxy na portu 8080.
Druhý povoluje přístup proxy na adresu stránek školy. Např. přidáním stejného pravidla proxy s adresou http://www.ispforum.cz, budou mít žáci přistup i na ispforum.
Třetí řádek zakazuje přístup na všechny ostatní weby a přesměruje je na adresu stránek školy - toto a předchozí pravidlo je potřeba přetahnout na první místo v proxy access,
v pořadí allow (příp. všechna přidaná allow) jako první, pak teprve deny.
Čtvrtý řádek nám to "zapne", zajistí, že budou pakety z ip X.X.X.X/X směrovat na port proxy - toto pravidlo je potřeba přetahnout na první místo ve firewallu.

Nastavení výjimky paketů ve firewallu, na porty u kterých je nežádoucí aby šly přes proxy (ftp, smtp, dns, https) už pak záleží na vkusu každého soudruha