FATBOZZ: Já u toho contet paremetru mám trochu obavy zda tam nespadne i něco co tam nepatří. Ale zatím jsem to netestoval a nevím jak přesně se to chová.

Svého času mi kvůli filtru dle "fráze" v adrese na úrovni proxy volalo dost lidí, že jim nejdou některé weby, které smí používat (nemohli třeba číst článek "jak-skodi-porno" na povoleném webu). Nakonec bylo jednoduší používat jen listy adres. Ale byl to jiný scénář a těch frází bylo hodně.

FATBOZZ: naprostá ideálka! to by mohlo stačit, zkusím jak se to bude chovat :) díkec

KARYSLAV: Ono moc routry nejsou od toho aby pravdila uplatnovali random, ale pekne deterministicky. Napada me ze v tom pravidlu nastavit nth ( tj kazdy nthý packet )

FATBOZZ: nooo a dostanu do té podmínky random? jsem našel v dokumentaci mikrotiku že tam random je, ale nejsem si uplně jistej jak to použít správně.

CHOROBA:
HEINZZ:
HEINZZ:
AHARAZ:

Díky moc pánové! Že tu na mě bude čekat hned několik odpovědí jsem nečekal, spíš jsem myslel že mi nadáte...

No a co je cíl - cíl je nasrat je, aby se sami vykašlali to používat. On prostě dojde v 16:15 do práce, a jako první začne hlásit, které vietnamce kde bouchlo auto. Pak tu smrdí do 9-10 večer a já se nemůžu koukat na filmy :-D

Takže jsem si to představoval tak, že to bude fungovat na zadanej rozsah adres (popravdě ten FB mě trápí nejvíc, twitch, youtube, idnes, stream a podobně mě serou víc).

Každopádně, zítra si to projdu a zkusím z toho udělat nějakej závěr. Ty proxyny a VPNky zatím řešit nebudu, jen chci aby to vyapdalo že mu "blbne připojení" a pak až se ozve, tak uvidíme co dál :)

AHARAZ: Přiklad tranparentní proxy pro port 80 - přesměrování na port 3128 mikrotiku
/ip firewall nat chain=dstnat action=redirect to-ports=3128 protocol=tcp in-interface=eth3-LAN dst-port=80 log=no log-prefix="" + adresslist těch vyvolených

KARYSLAV: To mě zajímá co kdo doporučí. Ale je to prostě tenký led co stojí hodně energie.

První experiment může být transparentní proxy přímo na Mikrotiku s vyplněným acceslistem http://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Access_List (to má výhodu že mužeš použit doménová jména) pak použití externích proxy, které používají nástroje jako Dansguardian, Squidguard a nebo komerční řešení - k těm seženeš poměrně dlouhé seznamy i pro české prostředí, pokud to myslíš vážně (mají i seznamy porna, stránek s proxy a pod.) - jen pak děláš whitelisty když se ukáže že je tam i něco co doopravdy mají používat.
Pak pokračuješ zakazováním dalších a dalších služeb (jako třeba remote desktop / VNC / VPN (tady je hodně možností)). Až skončíš u toho že zahazuješ všechno a povoluješ málo co...

Pokud chceš magickou chybovost na některé weby určitě si můžeš vyhrát s pravidly firewallu a address listy tamtéž (tady už musíš mít přeložené jména na adresy).
Určitě vymyslíš nějaké pravidlo, které pustí jen 2 z 10 nových spojení, uděláš si na ty konkrétní požadavky nějakou úzkou frontu (sekající Youtube na nejnižší rozlišení není terno) a pod. Ale zase udržovat ty seznamy serverů bude peklo.

Je otázka co má být cíl. Já mám u jednoho klienta zadání od vedení co je povolený obsah a je to i součástí interních pravidel organizace. Ale stejně se to zatím neřešilo nikdy do té doby než byl průšvih a když byl tak stejně ani nedošlo na logy proxy a netflow, protože je dlouhodobě vidět že ten člověk nemá hotovo.

Když takhle přitvrdíš, tak pak už toho musíš začít řešit hodně včetně bezpečnosti celé sítě. Můj favorit zatím byl v síti bez zabezpečení na úrovni zásuvek/switchů člověk co si přinesl swůj switch, APčko a tablet...

KARYSLAV: aaaneeeboooo http://www.ex-parrot.com/pete/upside-down-ternet.html

KARYSLAV: Od nás z práce

buď

/ip firewall filter
add action=drop chain=forward comment="nyx od 9:00-12:00" dst-address=81.27.197.73 time=9h-12h,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=forward comment="nyx od 13:00-20:00" dst-address=81.27.197.73 time=13h-20h,sun,mon,tue,wed,thu,fri,sat

Případně

/ip firewall address-list
add address=74.119.76.0/22 list=facebook
add address=173.252.64.0/19 list=facebook
add address=204.15.20.0/22 list=facebook
add address=66.220.144.0/21 list=facebook
add address=69.171.224.0/19 list=facebook
add address=173.252.96.0/19 list=facebook
add address=66.220.152.0/21 list=facebook

/ip firewall filter
add action=drop chain=forward dst-address-list=facebook

Analogicky můžeš specifikovat viníky přes src-address-list

Chce to jenom aby neměli přístup do routeru.. = )
(Btw stvořil kolega, je na nyxu taky tak ať se kdyžtak přihlásí = )

jednoduch - paklize mas mikrotik na x86, tak umoznuje virtualizaci KVM.... dal uz asi vite

KARYSLAV: nahod v mikrotiku proxy a do nej snort a dansguardian a maj popice

Začínají mě brutálně srát manýry některejch kolegů, kteří zneužívají volnosti v práci a konstantně čumí ma Lets Playe, lžidnes, zlovinky a podobně.

Existuje nějakej, relativně použitelnej způsob jak nikrotikem zablokovat některý weby? Jak nad tím tak přemýšlím, tak pokud to neudělám na základě IP adres, tak se to dá jednoduše obejít, a i tam si VPNkou nebo proxynou budou moct pomoct (naštěstí maj omezenou FUPku na mobilech takže si vypráskaj celkem rychle prostor :-D )

Každopádně - snažím se to googlit ale nic moc, nemohl by mě někdo nasměrovat správným směrem? Jak to řeší třeba školy nebo velký firmy? Asi bych si i mohl rozjet nějakej virtual a tlačit ten traffic skrz to a kontrolovat jeslti je to OK nebo ne.

Respektive, existuje nějakej relativně "jednoduchej" způsob? :-D Spíš mi jde o to že tomu zase nechci věnovat moc energie... Líbilo by se mi to omezit jen některejm komplům v síti, nebo to zapínat ručně jen náhodně aby si nevšimli toho že to je zavedený... Něco zákeřního co bude vypadat jako chyba, možná nějakej náhodnej vyhazovač paketů?

Dík za tipy :)

Posledni dobou resim jednu divnost. Kdyz se mi odpoji mikrotik od kolegy naprotejsi strane. Z nejakeho nepochopitlneho duvodu nedokaze routovat. Ping primo z mikrotiku vsude vleze, jak do site na lan, tak dal do radia a i na net. Z toho duvodu moc nefunguje watchdog ktery by ohlidal reboot zarizeni, ktery je spasou a pak zase funguje normalne.
Trosku tusim ze by to mohl delat ROS 6.27 na obstaroznim kousku. No považte

routerboard: yes
model: 532
current-firmware: 2.18
upgrade-firmware: 2.18

Resili jste neco podobneho, napady ?

Mar/26/2015 10:10:37 wireless,info 00:0B:6B:XX@wlan0: lost connection, received deauth: unspecified (1)
Mar/26/2015 10:10:40 route,ospf,info OSPFv2 neighbor 10.XX: state change from Full to Down
Mar/26/2015 10:10:41 wireless,info 00:0B:6B:XX@wlan0 established connection on 5240000, SSID XXX
Mar/26/2015 10:12:02 route,ospf,info Database Description packet has different master status flag
Mar/26/2015 10:12:02 route,ospf,info new master flag=false
Mar/26/2015 10:12:02 route,ospf,info OSPFv2 neighbor XXX: state change from Full to 2-Way
Mar/26/2015 10:12:43 route,ospf,info Database Description packet has different master status flag
Mar/26/2015 10:12:43 route,ospf,info new master flag=false

POTRAT: Dle me reversni neumi.
Asi to budes muset udelat spis z toho mista kde potrebujes mit port. Klient (port tam) - Mikrotik - ip:port(tady) ve vnitrni siti.
Tohle jim rozhodne funguje a pouzivam to. Treba jako nouzovku na remote desktop na mistech kde ho normalne nepotrebuji.
Pokud to resis treba kvuli tomu, ze ten Mikrotik nema pevnou ip, muzes zkusit pouzit jejich DDNS http://wiki.mikrotik.com/wiki/Manual:IP/Cloud, pokud kvuli tomu ze je nekde hluboko za NATem a nema ani port pristupny z internetu budes muset asi pouzit spis nejake VPN (asi nejelpe OVPN proti Linuxu).

FATBOZZ: no to prave si myslim, ze ten jejich ssh klient je jenom nejaka orezana verze, ktera podporuje -L ale ne -R...

POTRAT: místo -R tam maji -L ... nebude v tom zakopány pes ?

Cau,
chtel bych na mikrotiku(RouterOS 6.27) pustit reverzni ssh tunel, ale nejak mi to nejde. Naimportoval jsem klice a pak zkousim:
/system> ssh uzivatel@domena -R PORT_TAM:192.168.1.184:PORT_TADY
expected end of command (line 1 column 23)

tady - http://wiki.mikrotik.com/wiki/Manual:IP/SSH - se vytahujou, ze to jde, ale asi jenom zrovna to forwardovani co ukazujou nebo delam nekde neco spatne.

z linuxovyho kompu ten uvedenej prikaz udela co ma bez problemu.

tak nevim, mate sklep?