TREINAMENTO MIKROTIK

ESSENTIAL
Web Proxy
Conteúdo
• Web Proxy
• Configurando Web Proxy Não transparente
• Acesso e Bloqueio no Proxy
• Adicionando Regras
• Black List e White List
• Redirecionamento para sites específicos
• Web Proxy transparente
• LOG
 Web Proxy

O Web Proxy é um utilitário já incluso no Sistema RouterOS que faz com

que o equipamento atue como um cache da WEB e firewall HTTP.
Ele atuará normalmente, recebendo solicitações de páginas na
WEB, baixando as mesmas, fazendo cache e entregando para o
cliente final.
O Proxy em si, pode atuar com duas funções sendo que a primeira é a
função principal.
• Acelerador WEB
• Filtro de Conteúdo
 Web Proxy

No primeiro item, o acelerador WEB, ele irá armazenar todas

solicitações feitas pelos clientes para páginas WEB no seu cache
interno, de forma que quando outro cliente ou até o mesmo cliente
solicitar a mesma página, será entregue a página que está no
cache, sem ter a necessidade de ir até o servidor web e baixar
novamente a página, acelerando significativamente a experiência
da web de um usuário.
Já no quesito filtro de conteúdo, como o nome já diz, será filtrado o
que passa pelo proxy e então a partir de regras pré-estabelecidas,
permitirá ou negará que o usuário acesse determinados endereço
na Internet. Nos dias de hoje, pode-se dizer que está função seja
mais utilizada e importante que a primeira.
 Web Proxy Transparente
Além disso podemos usar o proxy de duas formas, transparente e
não transparente.
No proxy transparente, não existe a necessidade de fazer qualquer
configuração nos computadores, para indicar que o mesmo
precisará usar proxy. Isso se dá pelo fato de que são criadas
regras de redirecionamento, onde qualquer pacote enviado
para porta 80, será redirecionada para a porta do proxy, como
por exemplo 8080.
Já no proxy não transparente, é necessário a configuração dos
endereços e portas do proxy nos computadores dos clientes,
pois não há redirecionamento de porta no firewall.
 Configuração Web Proxy não
transparente
A criação do proxy em si é muito simples, e com pouca coisa já
podemos criar e filtrar.
Para habilitarmos nosso Web Proxy, vamos no menu IP > Web Proxy.
Será aberto a Guia General, com várias informações, entre elas
o endereço de origem, porta, etc Veja a imagem:
Configuração Web Proxy não
transparente
 Configuração Web Proxy não
transparente
Devemos marcar o item Enable, para habilitar nosso proxy. Em Src.
Address é interessante deixar o endereço IP da LAN, para não
ter problema com ataques externos. Podemos ver também que
acima estamos usando a porta 8080, que poderá ser alterada
conforme gosto e necessidade.
Uma vez configurado estes itens, basta então configurar o
computador, ou browser e testar o funcionamento. As outras
Guias Status, Lookups, Inserts e Refreshs trazem informações do
uso do Web-Proxy, com Uptime, Uso de Cache, Total de
memória RAM entre outros.
Por padrão todos os sites são liberados, de forma que deveremos
criar nossas listas de sites que podem ou não acessar.
É importante saber que o proxy, trata apenas HTTP e não HTTPS,
entre outros. Por isso no momento da configuração, exclua o
protocolo HTTPS.
 Configuração Web Proxy não
transparente

Vejamos abaixo, como habilitar o mesmo, via linha de comando:

ip proxy set enabled=yes port=8080 src-address=192.168.0.1

 Acesso e Bloqueio no Web Proxy

O próximo passo é criar o que pode ou não ser acessado através

do proxy. Temos a opção de criar regras para permitir, onde o
cliente conseguirá visualizar o site, e podemos negar, onde o
usuário será direcionado para uma página padrão informando
que foi negado o acesso, e ainda podemos redirecionar para
uma outra página Web que desejarmos.
.
 Acesso e Bloqueio no Web Proxy

Na Guia General, existe o botão Access. É nesse item que iremos

permitir, bloquear e redirecionar.
.
 Adicionando Regras
Para adicionar uma nova regra, basta clicar no sinal de +, que uma
nova janela New Web Proxy Rule, com várias opções possíveis.
Veja abaixo a imagem:
 White List
Este é como no primeiro exemplo, onde iremos criar todas
liberações primeiramente para então ao final criar uma regra de
Bloqueio.
A primeira regra estou liberando acesso ao destino de host
*stato.blog.br, ou seja, qualquer item que tenha stato.blog.br.
 White List
Um item interessante também é a segunda regra, onde estou
filtrando por palavra, e para isso uso o sinal de dois pontos “: ”
antes da palavra. E neste caso estou filtrando a palavra anal,
que casaria com qualquer conteúdo que contenha essa
palavra, por exemplo analgésico. Apesar de no exemplo estar
permitindo, com certeza seria o contrário na pratica, bloquear,
ou não... vai depender da sua vontade. LOL
 White List
E por fim o bloqueio do restante, onde simplesmente
não informamos nenhum dado, somente a ação de
deny para qualquer coisa.
Veja como ficaria tais regras sendo criada via linha
de comando:

ip proxy access add dst-host=*stato.blog.br action=allow

ip proxy access add dst-host:anal action=allow
ip proxy access add action=deny
 Black List
Neste modelo, a diferença é que ao invés de permitirmos uma lista
de sites, para no final bloquear tudo, faremos o contrário.
Iniciaremos bloqueado uma lista de site para no final criar uma
regra que vai liberar tudo, ou seja, o que não foi bloqueado, na
lista, está permitido para acesso.
No mesmo contexto do anterior, iremos bloquear stato.blog.br e a
palavra anal, para no final liberar todo acesso aos nossos
clientes.
.

ip proxy access add dst-host=*stato.blog.br action=deny

ip proxy access add dst-host:anal action=deny
ip proxy access add action=allow
 Redirecionamento para sites
especificos

O redirecionamento, segue o mesmo padrão, você pode usar tanto com blacklist
como com whitelist. Mas ele só pode ser usado com a ação de deny.
A partir do momento que é escolhido a ação deny, o campo redirect to é
habilitado e pode ser configurado.
No mesmo conceito visto anteriormente, podemos criar para o primeiro exemplo
no whilist um redirecionamento para uma página especifica, como por exemplo
para sua empresa, que neste exemplo será www.suaempresa.com.br.
 Redirecionamento para sites
especificos

E via linha de comando seria:

ip proxy access add dst-host=*stato.blog.br action=allow

ip proxy access add dst-host:anal action=allow
ip proxy access add action=deny redirect-to="www.suaempresa.com.br"
 Web Proxy Transparente

Neste modelo não teremos que informar o browser o qualquer

outro programa, quais são as configurações do nosso proxy, pois
iremos criar uma regra de firewall que redirecionará a porta 80 a
porta 8080.
As configurações iniciais são todos iguais, não havendo nenhuma
diferença. De fato, o que muda é a criação da regra de firewall
de redirecionamento e a remoção da configuração do browser
ou programa configurado com proxy.
.
 Web Proxy Transparente

Para criar a regra vamos em IP > Firewall > NAT e vamos adicionar
mais uma regra. Na cadeia escolheremos dstnat, Protocol em
tcp e Dst. Port a porta 80.
.
 Web Proxy Transparente

Após fazermos a configuração anterior, vamos na guia Action, no

campo Action escolheremos redirect e por fim no campo To
Ports, colocamos a porta do nosso Web Proxy, que no caso 8080.
.
 Web Proxy Transparente

Veja abaixo a criação da mesma regra via linha de comando:

ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

 LOG

Muito importante para o Administrador do Firewall / Proxy é LOG,

pois através dele é possível extrair informações e fazer debug de
problemas. No mikrotik podemos salvar o LOG localmente ou em
um servidor LOG como SYSLOG.
Existe aplicações que podem ser usadas para gerar relatórios e
gráficos, como por exemplo temos o SARG para Linux. Como por
exemplo GestorLOG, que é gratuito por sinal. Não iremos
abordar esse assunto, somente como gravar os logs e enviar
para outros servidores.
 LOG

Para configurarmos nosso LOG do Web Proxy, devemos ir no menu

System >Logging. Nesta nova janela, na guia Rules cria uma
nova regra. Em Topics, iremos selecionar web-proxy, e
adicionalmente debug, com a marcação de exceção (!), que
informa para o Mikrotik gravar qualquer nível de Log com
exceção de debug. Em prefix podemos colocar um prefixo que
distingue estes logs dos demais, como por exemplo como
PROXY. Veja abaixo a imagem:
 LOG

Desta forma já configuramos nosso LOG para o nosso Web Proxy. Para
visualizar os Logs, vá direto ao menu LOG.
 LOG

Via linha de comando, também poderíamos configurar os Logs para o Web

Proxy:

system logging add topics=web-proxy,!debug prefix="PROXY -" action=memory

 LOG Remoto
O processo em si é bem simples, ao invés de usar uma action
configurado como memory, utilizaremos para remote. Então o
que é necessário de fato e configurar o remote
adequadamente, ou melhor criar um novo.
Para isso vamos em Logging novamente, mas neste momento na
guia Action. Adicionando uma nova ação, a janela solicitará
alguns campos como Nome, tipo, e o mais importante Remote
Address. Podemos colocar algo como webproxy no nome, em
type escolheremos o tipo remote, e no endereço do servidor
(Remote Address) informaremos o IP do servidor de LOG que
neste caso é 192.168.0.100.
 LOG

Uma vez configurado a ação, basta mudarmos está ação na

configuração do LOG, que criamos anteriormente.
 LOG
Para executar via linha de comando, executaríamos o seguinte:

system logging action add name=”webproxy” target=remote remote=192.168.0.100

remote-port=512
system logging add topics=web-proxy,!debug prefix="PROXY -" action=webproxy