classic.ISPforum.cz

Zdravím,

měl bych pár dotazů ohledně zatížení Mikrotiku:

1) Když potřebujeme mít z určitého rozsahu např. 192.168.1.0/24 povolené jen určité adresy -> je lepší zadat všechny do firewall filter a z toho některé povolit a zbytek zakázat? A nebo udělat jen jedno firewall pravidlo, které bude využívat Adress List, kde budou napsané všechny povolené adresy a zbytek dalším firewall pravidlem zakázat? Respektive, který způsob bude pro CPU méně zatěžující?

2) Jakým způsobem nejlépe zabránit určitým stránkám - například webové hry, facebook apod. Zkoušeli jsme to ve Firewall Filter položkou Content, nicméně to bude asi hodně procesorově náročné. Tuším, že zakázat jen určité IP v tomto případě nebude fungovat. Jak byste to řešili vy? Co na tom rozjet proxy?

Díky moc.

1. adress-list je vždy optimálnější (a to dost výrazně, samozřejmě se stoupajícím počtem adres, kdy jeho náročnost vlastně neroste)

2. nefiltrovat. Boj s větrnými mlýny vždy prohraješ. Volba proxy záleží na prostředí. Ve firemním bych se jí zase tolik nebál. Ale z věčného psaní pravidel se admin zblázní.

2. je to ve firemním prostředí a klient si to žádá. Zatím to řeší přes to content, ale je to na RB2011 - hodí tam pár pravidel a cpu se v tom upeče. jak funguje proxy na mikrotiku, ještě jsem ji na tom nedělal? dalo by se to filtrování přes ni takhle vyřešit, aniž by se procesor vypařil? Nebo jediná možnost bude pořídit lepší železo?

Proxy jsem dělal naposledy v roce 1999 a byl to Squid na linuxu. Na mikrotiku jsem tu potřebu ještě neměl.

Kdo ví, jak to bude výkonově. Veškeré http/https zpracovává ona a vrací klientovi. Ale zase můžeš filtrovat i dle URL (ale opět - nevím jak na MK).

Ale pokud je to firemní síť a všichni používají tvůj DNS server - tak ty domény zablokuj pomocí falešného záznamu tam.

Případně pokud je to Win síť s AD, tak tam to určitě jde také (alespoň pro IE). Ale v tom už dost tápu.

No, zablokovat ty domény by se daly v DNS, ale mám pocit, že jsem si s tím kdysi hrál a nefungovalo mi to. Respektive povedlo se zablokovat url v http, ale https ne. AD mají, ale routing dělá ten Mikrotik.

Pomocí AD lze ty počítače ovládat. Určitě i jejich firewally. A zcela určitě i nastavení Internet Exploreru.

Vrátí-li firemní DNS pro doménu např. www.facebook.com adresu 127.0.0.1 (nebo klidně nějaký interní server, který na to zareaguje chybovou hláškou, ať nejsou lidi zmatení), tak se člověk z toho počítače prostě na facebook nedostane. Ale logicky se dostane na m.facebook.com, to je jiná doména. Nevím jak je na tom mikrotik s hvězdičkovou konvencí.
Může se na takový server dostat pomocí IP adresy, zná-li jí. Ale to v dnešní době zase tak použitelné není a asi tuto možnost můžeme pominout.

Samozřejmě to předpokládá, že ty počítače nemají možnost použít jiný DNS server.

Zákaz sociálních sítí+pár dalších jsem ve firemním prostředí řešil přes L7. jako GW je tam RB750 linka 30mb/s a zatím stíhá bez problémů
Můj zápis:

Mazzalo píše:Zákaz sociálních sítí+pár dalších jsem ve firemním prostředí řešil přes L7. jako GW je tam RB750 linka 30mb/s a zatím stíhá bez problémů
Můj zápis:

Kód: Vybrat vše

/ip firewall layer7-protocol
add name=blok regexp="^.+(facebook|twitter|youtube|seznam|atlas|novinky|aukro).*\$"
/ip firewall filter
add action=reject chain=forward comment="Blok socialnich siti" \
    layer7-protocol=blok out-interface=eth1-wan reject-with=icmp-admin-prohibited src-address-list=\
    PC_zamestnanci
   

Díky. Kolik to má ve špičce zátěž cpu? Jaký je rozdíl v tom, když se to udělá přes layer7-protocol a tou položkou Content?

týdenní graf


Přiznám se, že rozdíl mezi L7 a Content nevím. Resp. L7 by měl hledat výraz přímo v paketu ale jak to dělá content...

on především regexp bude náročnější, než obyčejné hledání stringu. Ale zase neprohledává každý paket, ale jen prvních deset. Ve výsledku to bude asi tak trochu jedno.