Web Proxy

[marco2189]

Ciao a tutti ragazzi avrei bisogno di un dritta da parte vostra.

Ho configurato un web proxy all'interno di un mikrotik per inibire la visualizzazioni di siti ad una address list di ip il problema è il seguente, abbiamo un CRM Web che utilizziamo tramite browser il punto è che facendo il redirect della porta 80 sulla 8080 il crm va in errore c'è un possibilità di creare una regola di eccezzione solo per l'indirizzo ip pubblico di destinazione del crm ?

come sempre grazie

Buona giornata

Marco

[xanio]

penso che puoi applicare una regola che se come dest-address hai quello del CRM il redirect non avviene verso la porta 8080 del proxy.

Ovviamente non conoscendo al tua configurazione vado a tentoni

[marco2189]

hai ragione....

la configurazione che ho creato è la seguente:

creata address-list no-allow

Codice: Seleziona tutto

0   no_allow              192.168.88.53-192.168.88.254

configurato web-proxy

Codice: Seleziona tutto

enabled: no
             src-address: ::
                    port: 8080
               anonymous: no
            parent-proxy: ::
       parent-proxy-port: 0
     cache-administrator: webmaster
          max-cache-size: unlimited
   max-cache-object-size: 2048KiB
           cache-on-disk: no
  max-client-connections: 600
  max-server-connections: 600
          max-fresh-time: 3d
   serialize-connections: no
       always-from-cache: no
          cache-hit-dscp: 4
              cache-path: web-proxy


aggiunte le regole di deny non te le posto tanto servono

aggiunta regola nat di redirect

Codice: Seleziona tutto

chain=dstnat action=redirect to-ports=8080 protocol=tcp
      src-address=192.168.88.0/24 src-address-list=no_allow src-port=80
      log=no log-prefix=""

giustamente se aggiungo questa regola

Codice: Seleziona tutto

/ip firewall nat add chain=srcnat dst-address=ip_crm protocol=tcp src-port=80 dst-port=80 src-address-list=no_allow

non dovrei aver problemi

provo e ti faccio sapere

[marco2189]

Lo so che adesso riceverò insulti,minacce di morte,riferimenti alle legge sulla privacy ed altro.......

ma c'è un modo per esportare i dati di navigazione degli utenti connessi al mikrotik


Ho già abbastanza le scatole girate(non mi piace fare queste cose,ma non sono io il richiedente)

[xanio]

Partiamo dal presupposto che in ambito lavorativo e con un proxy è lecito tenere i log di navigazione, che poi questi debbano contenere ip sorgente, ip destinazione, pagina web visitata (per facilitarti la ricerca), mac address sorgente. Questo è quello che possano contenere quindi, ti serve:
1. syslog su cui far puntare i log RouterOS;
2. configuri sul RouterOS il loggin sul server remote;
3. fai delle rules di forward in cui fai loggin del sorgente con mac-address sulle nuove connessioni;

questo ti dovrebbe permettere di avere dei log src-address, mac-address, dst-address, src-port, dst-port.

Per poter loggare anche le pagine URL richieste, invia anche i log di web-proxy.

Spero di esserti stato utile

[marco2189]

Come sempre

grazie Xanio

[marco2189]

ho utilizzato un sistema esterno per i log ma per avere i dati come mi hai specificato te che rule di loggin devo impostare? al momento ho utilizzato la rule web-proxy ma restituisce una marea di dati

per avere i dati come specificati da te che rule devo impostare?

[xanio]

per avere anche il log degli ip sorgenti, mac address, ip destinazione, porte etc. devi creare una regola fi firewall sulla chain di forward che "logga" le nuove connessione e quello nello stato established e poi loggi il firewall sul suslog remoto.

[marco2189]

Ci sono arrivato ieri dopo averci sbattutto un bel pò la testa

grazie come sempre per il sostegno