FATBOZZ: To jsem byl já dva roky zpět, ale tu funkčnost z té wiki imho vyřezali. Bylo tam "create book" jako volba co uměla udělat PDF z celé wiki. Teď to tam nikde nevidím a není moc čas to hledat.

Je to někdo kdo si rozumí s mikrotik CRS? hrozně mě to sere a nejsem schopnej na tom nastavit úplně základní funkcionalitu tag/untag vlan do portů, ocenil bych nějakou konzultac... počta kdyžtak..

AHARAZ: Este takovy postreh. Kdyz se odpoji wlan od kolegy na protejsi strane treba jen disable iface a znovu nahodi, tak se vsechno sparuje, wifi se vidi, ping z wlan co jsou proti sobe projde, ale treba z eth0 mikrotiku neprojde na ten wlan iface. Padá to random, nevim jak bych tomu mohl pomoc :(

FATBOZZ: Zkusil jsem i downgrade na 5.26, bezezmeny

FATBOZZ: Někdo nejaky napad ?
Podarilo se mi zatim jen resit to bez rebootu routeru, kdyz v OSFP zmenim interfaces all network type z broadcastu na ptp a zase zpet. Zatim finalni reseni bych videl na reset do tovaru a zase nastavit odznova ne nahrat konfig ( vubec se mi do toho nechce ). Nejaky lepsi reseni ? Abych se i priznal ani nevim jak osfp trablšůtovat.

AHARAZ: pada, facebook sem zkousel a obcas to chytlo i sajty co nemelo ;)


Blocking http/https Facebook via automated address-list in Mikrotik | Syed Jahanzaib Personnel Blog to Share Knowledge !
https://aacable.wordpress.com/2014/02/11/blocking-httphttps-facebook-via-automated-address-list/

AHARAZ:
FATBOZZ: já nemám problém to dát na definovanej seznam IP adres, nemusí to být string v čemkoli, a bude to jen na "cvhilku když bude sedět v koutě na hrachu/třísce" :)

AHARAZ: Nerikam ze je to uplne vysperkovany, ale asi to poslouzi jak potrebuje. Muzes to omezit treba jen na dns, ale radsi bych sel pres ty regexpy, kdyzuzbych chtel mit kontrolu.

FATBOZZ: Já u toho contet paremetru mám trochu obavy zda tam nespadne i něco co tam nepatří. Ale zatím jsem to netestoval a nevím jak přesně se to chová.

Svého času mi kvůli filtru dle "fráze" v adrese na úrovni proxy volalo dost lidí, že jim nejdou některé weby, které smí používat (nemohli třeba číst článek "jak-skodi-porno" na povoleném webu). Nakonec bylo jednoduší používat jen listy adres. Ale byl to jiný scénář a těch frází bylo hodně.

FATBOZZ: naprostá ideálka! to by mohlo stačit, zkusím jak se to bude chovat :) díkec

KARYSLAV: Ono moc routry nejsou od toho aby pravdila uplatnovali random, ale pekne deterministicky. Napada me ze v tom pravidlu nastavit nth ( tj kazdy nthý packet )

FATBOZZ: nooo a dostanu do té podmínky random? jsem našel v dokumentaci mikrotiku že tam random je, ale nejsem si uplně jistej jak to použít správně.

CHOROBA:
HEINZZ:
HEINZZ:
AHARAZ:

Díky moc pánové! Že tu na mě bude čekat hned několik odpovědí jsem nečekal, spíš jsem myslel že mi nadáte...

No a co je cíl - cíl je nasrat je, aby se sami vykašlali to používat. On prostě dojde v 16:15 do práce, a jako první začne hlásit, které vietnamce kde bouchlo auto. Pak tu smrdí do 9-10 večer a já se nemůžu koukat na filmy :-D

Takže jsem si to představoval tak, že to bude fungovat na zadanej rozsah adres (popravdě ten FB mě trápí nejvíc, twitch, youtube, idnes, stream a podobně mě serou víc).

Každopádně, zítra si to projdu a zkusím z toho udělat nějakej závěr. Ty proxyny a VPNky zatím řešit nebudu, jen chci aby to vyapdalo že mu "blbne připojení" a pak až se ozve, tak uvidíme co dál :)

AHARAZ: Přiklad tranparentní proxy pro port 80 - přesměrování na port 3128 mikrotiku
/ip firewall nat chain=dstnat action=redirect to-ports=3128 protocol=tcp in-interface=eth3-LAN dst-port=80 log=no log-prefix="" + adresslist těch vyvolených

KARYSLAV: To mě zajímá co kdo doporučí. Ale je to prostě tenký led co stojí hodně energie.

První experiment může být transparentní proxy přímo na Mikrotiku s vyplněným acceslistem http://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Access_List (to má výhodu že mužeš použit doménová jména) pak použití externích proxy, které používají nástroje jako Dansguardian, Squidguard a nebo komerční řešení - k těm seženeš poměrně dlouhé seznamy i pro české prostředí, pokud to myslíš vážně (mají i seznamy porna, stránek s proxy a pod.) - jen pak děláš whitelisty když se ukáže že je tam i něco co doopravdy mají používat.
Pak pokračuješ zakazováním dalších a dalších služeb (jako třeba remote desktop / VNC / VPN (tady je hodně možností)). Až skončíš u toho že zahazuješ všechno a povoluješ málo co...

Pokud chceš magickou chybovost na některé weby určitě si můžeš vyhrát s pravidly firewallu a address listy tamtéž (tady už musíš mít přeložené jména na adresy).
Určitě vymyslíš nějaké pravidlo, které pustí jen 2 z 10 nových spojení, uděláš si na ty konkrétní požadavky nějakou úzkou frontu (sekající Youtube na nejnižší rozlišení není terno) a pod. Ale zase udržovat ty seznamy serverů bude peklo.

Je otázka co má být cíl. Já mám u jednoho klienta zadání od vedení co je povolený obsah a je to i součástí interních pravidel organizace. Ale stejně se to zatím neřešilo nikdy do té doby než byl průšvih a když byl tak stejně ani nedošlo na logy proxy a netflow, protože je dlouhodobě vidět že ten člověk nemá hotovo.

Když takhle přitvrdíš, tak pak už toho musíš začít řešit hodně včetně bezpečnosti celé sítě. Můj favorit zatím byl v síti bez zabezpečení na úrovni zásuvek/switchů člověk co si přinesl swůj switch, APčko a tablet...

KARYSLAV: aaaneeeboooo http://www.ex-parrot.com/pete/upside-down-ternet.html