Контроль сайтов и пользователей на Mikrotik: кто куда ходит

Вопросы вебинара
Контроль сайтов и пользователей на Mikrotik: кто куда ходит.

• Способы сбора статистики
• Использование специализированных DNS-сервисов
• Netflow
• Использование встроенного Proxy-Сервера в Mikrotik
• Использование Mikrotik в паре с SQUID прокси
• Обсуждение решений

Использование специализированных DNS-сервисов

• Для примера используем rejector.ru
• Регистрируемся на rejector.ru
• Привязываем нашу сеть к сервису
• Настраиваем правила

Настройка mikrotik :

• /ip dns setservers=95.154.128.32,78.46.36.8 (Прописываем адреса
DNS серверов)
• /ip dns set allow-remote-requests=yes (Включаем кеширующий DNS –
сервер на mikrotik)

• /ip firewall filter add chain=input protocol=udp port=53 in-
interface=ether-inet (Блокируем внешний доступ к DNS – серверу)

• /ip firewall nat add chain=dstnat protocol=udp port=53 action=redirect
(Перенаправляем все DNS запросы из локальной сети на MikroTik)

Использование DNS-cashe

• Можем отправлять dns cashe в syslog server
• Настройка mikrotik :
• /ip dns set allow-remote-requests=yes (Включаем кеширующий DNS –
сервер на mikrotik)

• /ip firewall filter add chain=input protocol=udp port=53 in-interface=ether-
inet (Блокируем внешний доступ к DNS – серверу)

• /ip firewall nat add chain=dstnat protocol=udp port=53 action=redirect
(Перенаправляем все DNS запросы из локальной сети на MikroTik)

Настраиваем отправку DNS cashe в syslog

• /system logging action add name=dnsgraylog remote=192.168.78.186
remote-port=5465 target=remote
• /system logging add action=dnsgraylog prefix=DNS topics=dns,!packet

Extractor в graylog
• dns DNS: query from %{IPV4}: #%{INT} %{URIHOST}

Netflow

Сетевой протокол предназначенный для сбора статистики трафика

Использование встроенного Proxy-Сервера в Mikrotik

Настройка mikrotik :

• /set cache-administrator=team@integrasky.ru enabled=yes max-cache-
size=none (Включаем прокси-сервер на mikrotik)

• /ip firewall nat add action=redirect chain=dstnat disabled=yes dst-
port=80,8080 in-interface=bridge1 protocol=tcp to-ports=8080

(Перенаправляем все запросы 80, 8080 на встроенный прокси сервер)

• /system logging action add name=squid remote=192.168.78.50 remote-
port=5014 target=remote (Настраиваем приемник логов)

• /system logging add action=squid prefix=web-proxy topics=web-proxy,!debug
(Отправляем логи на лог коллектор)

Использование Mikrotik в паре с SQUID прокси

• /ip firewall mangele add action=mark-routing chain=prerouting disabled=yes dst-
address=!192.168.78.0/24 dst-port=80,443,8080 new-routing-mark=squid

passthrough=yes protocol=tcpsrc-address=!192.68.78.33 src-address-list=squid
(Направление всего трафика на хост с прокси сервером SQUID)
• /ip routeadd distance=1 gateway=192.168.78.33 routing-mark=squid

Использование Mikrotik в паре с SQUID прокси

Для работы в прозрачном режиме требуется собрать из исходников с отключенной hostHeaderIpVerify
acl localnetsrc 192.168.78.0/24 # RFC1918 possible internal network
dns_nameservers 8.8.8.8
#Непрозрачный порт, через который происходит взаимодействие клиентских хостов с прокси-сервером
http_port 0.0.0.0:3130 options=NO_SSLv3:NO_SSLv2
#прозрачный порт указывается опцией intercept
http_port 0.0.0.0:3128 intercept options=NO_SSLv3:NO_SSLv2
#HTTPS порт
https_port 0.0.0.0:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Итоги

Использование специализированных DNS-сервисов/DNS-cashe
«+» Просто настраивается
«-» Слабая статистика
«-» Платные решения

Netflow
«+» Просто настраивается
«-» Только заголовки
«-» Сложно анализировать статистику

Использование встроенного Proxy-Сервера в Mikrotik
«+» Просто настраивается
«-» Только http трафик
«-» Сложно анализировать статистику

Использование Mikrotik в паре с SQUID прокси
«+» Хорошая детализация
«+» Множество возможностей по фильтрации
«-» Сложно настраивается

mikrotik-training.ru