Dobré odpoledne přeji a prosím o radu.
Potřeboval bych v naší firmě pro jeden počítač v síti povolit přístup na dvě-tři domény v internetu a zbytek zakázat. Jde o přístup ze skladu na weby dopravců a kurýrů.
Jednou mi někdo radil použít v ROSu Web-proxy, ale nikdy jsem to pořádně nedotáhl. Šlo by to nějak i bez ní?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
DNS ve firewallu, nebo..
V podstatě nešlo.
Když to uděláš v DNS - můžeš. V mikrotiku to není rekurzivní resolver, takže by to mohlo bez zadání nadřízených serverů fungovat jak chceš, prostě tam zadáš jen ty povolené.
Jenže máš dva problémy. Ten první je, že mají smůlu i ostatní počítače (nebo mít ty DNS servery dva). A druhý je, že musíš znát IP adresu, která když se náhodou změní, tak má počítač smůlu. A když už znáš IP adresy a jsi smířený s tím, že to bude statické - můžeš použít paketový firewall. Při troše snahy by to šlo asi nascriptovat a měnit si automaticky nějaký address-list.
Pokud jsou ty weby nešifrované, možná bys mohl napsat i nějaké L7 pravidlo do paketového filtru. S tím ti ovšem nepomůžu
Proxy je ovšem stavěná přesně na to co chceš. Takový počítač vůbec nemusí mít přístup ven do internetu a všechny jeho požadavky na web sebere proxy a kontroluje. Ona rozumí http, ví tedy přesně co má zkontrolovat. A pustí jen tam kam chceš ...
Jen nevím, jaké možnosti má ta proxy v ROS. Takto jsem to používal na Squid. I s filtrem na reklamy a podobně.
Jestli by nebylo lepší najít spíš nějaký software přímo na stanici.
Když to uděláš v DNS - můžeš. V mikrotiku to není rekurzivní resolver, takže by to mohlo bez zadání nadřízených serverů fungovat jak chceš, prostě tam zadáš jen ty povolené.
Jenže máš dva problémy. Ten první je, že mají smůlu i ostatní počítače (nebo mít ty DNS servery dva). A druhý je, že musíš znát IP adresu, která když se náhodou změní, tak má počítač smůlu. A když už znáš IP adresy a jsi smířený s tím, že to bude statické - můžeš použít paketový firewall. Při troše snahy by to šlo asi nascriptovat a měnit si automaticky nějaký address-list.
Pokud jsou ty weby nešifrované, možná bys mohl napsat i nějaké L7 pravidlo do paketového filtru. S tím ti ovšem nepomůžu
Proxy je ovšem stavěná přesně na to co chceš. Takový počítač vůbec nemusí mít přístup ven do internetu a všechny jeho požadavky na web sebere proxy a kontroluje. Ona rozumí http, ví tedy přesně co má zkontrolovat. A pustí jen tam kam chceš ...
Jen nevím, jaké možnosti má ta proxy v ROS. Takto jsem to používal na Squid. I s filtrem na reklamy a podobně.
Jestli by nebylo lepší najít spíš nějaký software přímo na stanici.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Takže web-proxy v Mikrotiku zcela vyhověla mým požadavkům. Mám přes ni nakonec i povolené updaty MS a antiviru a pár dalších věcí. Pohodlně se to spravuje a funguje to
0 x