MikroTik Proxy, Firewall, p2p, layer7

MikroTik Proxy, Firewall, p2p, layer7

РЕСТРИКЦИИ В ЛАН МРЕЖАТА

Никога не съм бил привърженик на каквито и да са рестрикции спрямо потребителите в Интернет но по някой път се налага, особено когато става въпрос за работното място. Един служител с достъп до Интернет е постоянно атакуван от малки банерчета на различни онлайн магазини, игри, портали и социални мрежи. Една част от служителите не издържат и се подават на греха да поразцъкат фермата във facebook, да поразгледат какво ново предлага nike и adidas във sportsdirect или пък просто да претрепят няколкостотин чудовища във drakensang. Дори видях на запис как служителка знаейки, че е под видеонаблюдение всеки свободен за нея момент кликва ново табче в laredoute. Колкото и да се опитвам да не взема страна, работодателя с право се дразни. Няма как да се отрече, че това всъщност отнема вниманието, разконцентрирва и дори води до неадекватност в определни моменти а не както често съм чувал ,че напротив помагало защото за малко време развличало и така повдигало тонуса. Може би найстина е добра практика в дългия работен ден няколко релакса за 5-10 минути  да прочетеш виц или да гледаш смешно клипче във vbox7 но не само теоретично от там се започва. 10-те минути стават 20 минути само докато посадиш зеленчуците във фермата, 30 минути за да доразгледаш снимките на близък приятел във facebook и недай си боже да минеш едно ниво в онлайн игра мина час а може и два …..

Както и да е, решението което ще предложа mikrotik proxy със сигурност не е най доброто защото в тази насока има доста професионални проекти задоволявайки на доста по ниско ниво и най претенциозните желания на клиента (в случая работодателя). Но все пак конфигурацията по долу е бързо и евтино решение от което може да се проследи ефекта и да се премине към по сериозен проект.

PROXY

Първата ни стъпка към mikrotik proxy е да разрешим прокси сървъра, да му кажем да слуша на порт 8080, да не  да кешира данни на диска и кой е администратора към който трябва да се обръщат потребителите за евентуален проблем.

ip proxy set enabled=yes port=8080 cache-administrator="Samuil Arsov" cache-on-disk=no

Тук следват самите правила. Първите три реда full_access са за потребители който не трябва да имат рестрикции. След това са домейните който не трябват да бъдат посещавани а на последно място са файловете който не трябва да преминават през mikrotik proxy сървъра.

/ip proxy access
add action=allow comment=full_access1 disabled=no src-address=192.168.122.50
add action=allow comment=full_access2 disabled=no src-address=192.168.122.215
add action=allow comment=full_access3 disabled=no src-address=192.168.126.141
add action=deny disabled=no dst-host=facebook.com
add action=deny disabled=no dst-host=*.facebook.com
add action=deny disabled=no dst-host=twitter.com
add action=deny disabled=no dst-host=*.twitter.com
add action=deny disabled=no dst-host=imo.im
add action=deny disabled=no dst-host=*.imo.im
add action=deny disabled=no dst-host=aha.bg
add action=deny disabled=no dst-host=*.aha.bg
add action=deny disabled=no dst-host=elmaz.com
add action=deny disabled=no dst-host=*.elmaz.com
add action=deny disabled=no dst-host=gepime.com
add action=deny disabled=no dst-host=*.gepime.com
add action=deny disabled=no dst-host=mucunki.com
add action=deny disabled=no dst-host=*.mucunki.com
add action=deny disabled=no dst-host=arenabg.com
add action=deny disabled=no dst-host=*.arenabg.com
add action=deny disabled=no dst-host=zamunda.net
add action=deny disabled=no dst-host=*.zamunda.net
add action=deny disabled=no dst-host=sportsdirect.com
add action=deny disabled=no dst-host=*.sportsdirect.com
add action=deny disabled=no dst-host=laredoute.com
add action=deny disabled=no dst-host=*laredoute.com
add action=deny disabled=no dst-host=laredoute.fr
add action=deny disabled=no dst-host=*laredoute.fr
add action=deny disabled=no dst-host=vbox7.com
add action=deny disabled=no dst-host=*.vbox7.com
add action=deny disabled=no dst-host=youtube.com
add action=deny disabled=no dst-host=*.youtube.com
add action=deny disabled=no dst-host=mnogozle.com
add action=deny disabled=no dst-host=*.mnogozle.com
add action=deny disabled=no dst-host=logmein.com
add action=deny disabled=no dst-host=*logmein.com
add action=deny disabled=no dst-host=netlog.com
add action=deny disabled=no dst-host=*.netlog.com
add action=deny disabled=no dst-host=sibir.bg
add action=deny disabled=no dst-host=*.sibir.bg
add action=deny disabled=no dst-host=sladur.com
add action=deny disabled=no dst-host=*.sladur.com
add action=deny disabled=no dst-host=flirt4e.com
add action=deny disabled=no dst-host=*.flirt4e.com
add action=deny disabled=no dst-host=myspace.com
add action=deny disabled=no dst-host=*.myspace.com
add action=deny disabled=no dst-host=impulse.bg
add action=deny disabled=no dst-host=*.impulse.bg
add action=deny disabled=no dst-host=videofen.com
add action=deny disabled=no dst-host=*.videofen.com
add action=deny disabled=no dst-host=powershare-bg.com
add action=deny disabled=no dst-host=*.powershare-bg.com
add action=deny disabled=no dst-host=imdb.com
add action=deny disabled=no dst-host=*.imdb.com
add action=deny disabled=no dst-host=flash4e.com
add action=deny disabled=no dst-host=*.flash4e.com
add action=deny disabled=no dst-host=cinefish.bg
add action=deny disabled=no dst-host=*.cinefish.bg
add action=deny disabled=no dst-host=miniclip.com
add action=deny disabled=no dst-host=*.miniclip.com
add action=deny disabled=no dst-host=bgflash.com
add action=deny disabled=no dst-host=*.bgflash.com
add action=deny disabled=no dst-host=flash-igri.com
add action=deny disabled=no dst-host=*.flash-igri.com
add action=deny disabled=no dst-host=start.bg
add action=deny disabled=no dst-host=*.start.bg
add action=deny disabled=no dst-host=bgflash.com
add action=deny disabled=no dst-host=*.bgflash.com
add action=deny disabled=no dst-host=free.bg
add action=deny disabled=no dst-host=*.free.bg
add action=deny disabled=no dst-host=lafim.com
add action=deny disabled=no dst-host=*.lafim.com
add action=deny disabled=no dst-host=kefche.com
add action=deny disabled=no dst-host=*.kefche.com
add action=deny disabled=no dst-host=bgkef.com
add action=deny disabled=no dst-host=*.bgkef.com
add action=deny disabled=no dst-host=fun4e.com
add action=deny disabled=no dst-host=*.fun4e.com
add action=deny disabled=no dst-host=data.bg
add action=deny disabled=no dst-host=*.data.bg
add action=deny disabled=no dst-host=manicheta.com
add action=deny disabled=no dst-host=*.manicheta.com
add action=deny disabled=no dst-host=grabo.bg
add action=deny disabled=no dst-host=*.grabo.bg
add action=deny disabled=no dst-host=bezplatno.net
add action=deny disabled=no dst-host=*.bezplatno.net
add action=deny disabled=no dst-host=bezplatno.net
add action=deny disabled=no dst-host=*.bezplatno.net
add action=deny disabled=no dst-host=eurofootball.bg
add action=deny disabled=no dst-host=*.eurofootball.bg
add action=deny disabled=no dst-host=gong.bg
add action=deny disabled=no dst-host=*.gong.bg
add action=deny disabled=no dst-host=sportal.bg
add action=deny disabled=no dst-host=*.sportal.bg
add action=deny disabled=no dst-host=y8.com
add action=deny disabled=no dst-host=*radio*
add action=deny disabled=no dst-host=*sex*
add action=deny disabled=no dst-host=*tube*
add action=deny disabled=no dst-host=*porn*
add action=deny disabled=no dst-host=*xxx*
add action=deny disabled=no path=*.mp3
add action=deny disabled=no path=*.wav
add action=deny disabled=no path=*.wmv
add action=deny disabled=no path=*.avi
add action=deny disabled=no path=*.torrent
add action=deny disabled=no path=*.mkv
add action=deny disabled=no path=*.swf
add action=deny disabled=no path=*.mp4
add action=deny disabled=no path=*.flv

REDIRECT

Трябва да се има впредвид, че преди да настроим mikrotik proxy сървъра имаме работещ конфигуриран рутер с NAT и потребители който ползват Интернет зад него. Стъпките показани до тук са при работеща вече конфигурация и за да потече трафик през поксито трябва да добавим един ред във firewall с който да пренасочим трафика през порт 80 към 8080 както и да укажем само от коя мрежа да става това (в случая потребителската е 192.168.0.0/16).

/ip firewall nat
add action=redirect chain=dstnat disabled=no dst-port=80 protocol=tcp src-address=192.168.0.0/16 to-addresses=0.0.0.0 to-ports=8080

INPUT

mikrotik proxy сървъра не трява да се вижда от Интернет, в противен случай всеки извън нашата локална мрежа ще може да се възползва от него. Затова забраняваме порт 8080 от към WAN интерфейса.

ip firewall filter add action=drop chain=input disabled=no dst-port=8080 in-interface=ether1-wan protocol=tcp

FORWARD

Има някои услуги които не могат да се забранят през mikrotik proxy сървъра като remote desktop или клиенстка онлайн игра която ползва различни сървъри и портове. Тези рестрикции ще ги изпълним с firewall.
Разбира се в конфигурацията по долу с първите три реда не трябва да забравяме потребителите които ще имат пълен достъп до Интернет(указахме ги по горе в прокси сървъра с full_access) затова при тях политиката е action=accept а на всички останали е action=drop.
Четвъртия ред е забраната на портове който преминават през рутера без участието на прокси сървъра. В този ред има портове като 3128 или 8080 които могат да бъдат други прокси сървъри в Интернет и нашите потребители може да се възползват от тях.
Oстаналите редове са мрежи на който собствениците предлагат услуги които не искаме нашите потребители да ползват.

/ip firewall filter
add action=accept chain=forward disabled=no src-address=192.168.122.50
add action=accept chain=forward disabled=no src-address=192.168.122.215
add action=accept chain=forward disabled=no src-address=192.168.126.141
add action=drop chain=forward disabled=no dst-port=3128,3129,3389,8000,8080,8888,8890,9000,10000,5881 protocol=tcp
add action=drop chain=forward comment=LOGMAIN disabled=no dst-address=212.118.234.0/24 dst-port=443 protocol=tcp
add action=drop chain=forward comment=LOGMAIN disabled=no dst-address=64.74.103.0/24 dst-port=443 protocol=tcp
add action=drop chain=forward comment=FACEBOOK disabled=no dst-address=69.63.0.0/16
add action=drop chain=forward comment=FACEBOOK disabled=no dst-address=204.15.0.0/16
add action=drop chain=forward comment=FACEBOOK disabled=no dst-address=69.171.0.0/16
add action=drop chain=forward comment=BIGPOINT disabled=no dst-address=62.146.0.0/16
add action=drop chain=forward comment=BIGPOINT disabled=no dst-address=178.132.240.0/24
add action=drop chain=forward comment=BLIZZARD disabled=no dst-address=80.239.160.0/19
add action=drop chain=forward comment=TEAMVIEWER disabled=no dst-address=46.163.64.0/18
add action=drop chain=forward comment=TEAMVIEWER disabled=no dst-address=87.230.0.0/17
add action=drop chain=forward comment=MSN disabled=no protocol=tcp dst-port=1863,6891-6900,7001
add action=drop chain=forward comment=MSN disabled=no protocol=udp dst-port=6901
add action=drop chain=forward comment=MIRC protocol=tcp dst-port=6665-7000

VPN

Възможно е някой от нашите потребители да реши да вдигне VPN с домашния си компютър вкъщи или пък към друг VPN сървър в Интернет. Естествено в такъв случай всички наши забрани ще отпаднат защото преминавайки пакетите през VPN на потребителя няма да преминават през проксито. Затова трябва да забраним тази услуга в MikroTik която е пусната по подразбиране.

ip firewall service-port disable pptp
ip firewall filter add chain=forward protocol=gre action=drop disabled=no

IRC

Същото можем и да направим и с IRC

ip firewall service-port disable irc

Важно е да се знае, че както за pptp така и за IRC става въпрос за пакети които преминават само през ядрото на рутера. Ако IRC сървъра е в локалната мрежа тези правила не важат.

DNS

Тъй като това е нашата локална мрежа (LAN) нашият рутер е DHCP сървър който раздава ип адреси и съответно е DNS сървър. С този факт ние можем да си позволим да променяме DNS записите на определени сайтове които не искаме нашите потребители да посещават. Има вариант обаче някои от нашите потребители да си въведат ръчно DNS сървъри от Интернет и така да заобиколят нашите записи. Затова с последния ред в защитната стена ще забраним да преминават през ядрото на рутера пакети на порт 53.

/ip dns static
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)teamviewer\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)dyngate\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)facebook\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)twitter\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)arenabg\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)zamunda\\.net" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)axelbg\\.net" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)skype\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)utorrent\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)vuze\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)bitcomet\\.org" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)bitcomet\\.com" ttl=1d
add address=127.0.0.1 disabled=no name=".*\\(^\\|\\.\\)bitcomet\\.net" ttl=1d
 
ip firewall filter add chain=forward action=drop port=53 protocol=udp disabled=no

layer7

Разбира се, не на последно място трябва да обърнем внимание и на layer7 трафика. Тук рутера ще се опита да разпознае пакетите адресирани от приложенията по долу и да ги блокира. layer7 е 7-мия слой в мрежовия OSI модел който обяснява на какъв принцип работи мрежата. В 7-ият последен слой (application layer) работят програмите (приложенията)

Голяма част от програмите са така наречените умни приложения. Тези приложения трудно се проследяват защото често си сменят портовете или пък ползват различни централизирани сървъри.

ip firewall layer7-protocol add name=quake-halflife regexp="^\\xff\\xff\\xff\\xffget(info|challenge)"
ip firewall filter add chain=forward layer7-protocol=quake-halflife action=drop comment=quake-halflife
 
ip firewall layer7-protocol add name=jabber regexp="<stream:stream[\t-\r ][ -~]*[\t-\r ]xmlns=['\"]jabber"
ip firewall filter add chain=forward layer7-protocol=jabber action=drop comment=jabber
 
ip firewall layer7-protocol add name=doom3 regexp="^\\xff\\xffchallenge"
ip firewall filter add chain=forward layer7-protocol=doom3 action=drop comment=doom3
 
ip firewall layer7-protocol add name=msn-filetransfer regexp="^(ver [ -~]*msnftp\\x0d\\x0aver msnftp\\x0d\\x0ausr|method msnmsgr:)"   [admin@shipka] > ip firewall filter add chain=forward layer7-protocol=msn-filetransfer action=drop comment=msn-filetransfer
 
ip firewall layer7-protocol add name=msnmessenger regexp="ver [0-9]+ msnp[1-9][0-9]\? [\\x09-\\x0d -~]*cvr0\\x0d\\x0a\$|usr 1 [!-~]+ [0-9. ]+\\x0d\\x0a\$|ans 1 [!-~]+ [0-9. ]+\\x0d\\x0a\$"
ip firewall filter add chain=forward layer7-protocol=msnmessenger action=drop comment=msnmessenger
 
ip firewall layer7-protocol add name=yahoo regexp="^(ymsg|ypns|yhoo).\?.\?.\?.\?.\?.\?.\?[lwt].*\\xc0\\x80"
ip firewall filter add chain=forward layer7-protocol=yahoo action=drop comment=yahoo
 
ip firewall layer7-protocol add name=irc regexp="^(nick[\\x09-\\x0d -~]*user[\\x09-\\x0d -~]*:|user[\\x09-\\x0d -~]*:[\\x02-\\x0d -~]*nick[\\x09-\\x0d -~]*\\x0d\\x0a)"
ip firewall filter add chain=forward layer7-protocol=irc action=drop comment=irc
 
ip firewall layer7-protocol add name=counterstrike-source regexp="^\\xff\\xff\\xff\\xff.*cstrikeCounter-Strike"
ip firewall filter add chain=forward layer7-protocol=counterstrike-source action=drop comment=counterstrike-source
 
ip firewall layer7-protocol add name=halflife2-deathmatch regexp="^\\xff\\xff\\xff\\xff.*hl2mpDeathmatch"
ip firewall filter add chain=forward layer7-protocol=halflife2-deathmatch action=drop comment=halflife2-deathmatch
 
ip firewall layer7-protocol add name=radmin regexp="^\\x01\\x01(\\x08\\x08|\\x1b\\x1b)\$"
ip firewall filter add chain=forward layer7-protocol=radmin action=drop comment=radmin
 
ip firewall layer7-protocol add name=vnc regexp="^rfb 00[1-9]\\.00[0-9]\\x0a\$"
ip firewall filter add chain=forward layer7-protocol=vnc action=drop comment=vnc
 
ip firewall layer7-protocol add name=shoutcast regexp="icy [1-5][0-9][0-9] [\t-\r -~]*(content-type:audio|icy-)"
ip firewall filter add chain=forward layer7-protocol=shoutcast action=drop comment=shoutcast
 
ip firewall layer7-protocol add name=aim regexp="^(\\*[\01\02].*\03\0B|\\*\01.\?.\?.\?.\?\01)|flapon|toc_signon.*0x"
ip firewall filter add chain=forward layer7-protocol=aim action=drop comment=aim
 
ip firewall layer7-protocol add name=ciscovpn regexp="^\01\F4\01\F4"
ip firewall filter add chain=forward layer7-protocol=ciscovpn action=drop comment=ciscovpn

p2p

Въпреки, че през прокси сме забранили преминаването на файл с разширение .torrent потребителя винаги намира начин да си набави такъв, дали “зипнат” през пощата или дори да си го донесе от тях на “флашката”. Искам да сме наясно, че примера по долу не работи на 100% но да речем на 70% при мен със сигурност.

/ip firewall layer7-protocol
add name=torrentsites regexp="^.*(get|GET).+(torrent| zamunda|arenabg|axelbg|\
    thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|\
    torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|\
    entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|\
    flixflux|seedpeer|fenopy|gpirate|commonbits).*\$"
 
/ip firewall filter
add chain=forward layer7-protocol=torrentsites action=drop comment=torrentsites
add chain=forward protocol=17 dst-port=53 layer7-protocol=torrentsites action=drop comment=dropDNS
add chain=forward content=torrent action=drop comment=keyword_drop
add chain=forward content=tracker action=drop comment=trackers_drop
add chain=forward content=getpeers action=drop comment=get_peers_drop
add chain=forward content=info_hash action=drop comment=info_hash_drop
add chain=forward content=announce_peers action=drop comment=announce_peers_drop

С това правило ще се опитаме да разпознаем всичкия p2p трафик и да го спрем. Тук също няма да има 100% сигурност по ред причини: нова версия на торент, протокола, криптиране на трафика на клиента и ред други.

ip firewall filter add chain=forward p2p=all-p2p action=drop

SKYPE

Тъй като Skype както работи в Layer7 така е и p2p програма е най “умното приложение” което съм виждал досега. От една страна Skype се свързва с така наречените Нодове (различни сървъри в Интернет) на случаен съгласуван порт а от друга дори и да не намери НОД търси друг клиент в мрежата който да стане донор и така трафика протича през него.

/ip firewall layer7-protocol
add comment="" name=skypeout regexp="^(\\x01.\?.\?.\?.\?.\?.\?.\?.\?\\x01|\\x0\
    2.\?.\?.\?.\?.\?.\?.\?.\?\\x02|\\x03.\?.\?.\?.\?.\?.\?.\?.\?\\x03|\\x04.\?\
    .\?.\?.\?.\?.\?.\?.\?\\x04|\\x05.\?.\?.\?.\?.\?.\?.\?.\?\\x05|\\x06.\?.\?.\
    \?.\?.\?.\?.\?.\?\\x06|\\x07.\?.\?.\?.\?.\?.\?.\?.\?\\x07|\\x08.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x08|\\x09.\?.\?.\?.\?.\?.\?.\?.\?\\x09|\\x0a.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x0a|\\x0b.\?.\?.\?.\?.\?.\?.\?.\?\\x0b|\\x0c.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x0c|\\x0d.\?.\?.\?.\?.\?.\?.\?.\?\\x0d|\\x0e.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x0e|\\x0f.\?.\?.\?.\?.\?.\?.\?.\?\\x0f|\\x10.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x10|\\x11.\?.\?.\?.\?.\?.\?.\?.\?\\x11|\\x12.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x12|\\x13.\?.\?.\?.\?.\?.\?.\?.\?\\x13|\\x14.\?.\?.\?.\?.\?.\?.\?.\?\\x14|\
    \\x15.\?.\?.\?.\?.\?.\?.\?.\?\\x15|\\x16.\?.\?.\?.\?.\?.\?.\?.\?\\x16|\\x1\
    7.\?.\?.\?.\?.\?.\?.\?.\?\\x17|\\x18.\?.\?.\?.\?.\?.\?.\?.\?\\x18|\\x19.\?\
    .\?.\?.\?.\?.\?.\?.\?\\x19|\\x1a.\?.\?.\?.\?.\?.\?.\?.\?\\x1a|\\x1b.\?.\?.\
    \?.\?.\?.\?.\?.\?\\x1b|\\x1c.\?.\?.\?.\?.\?.\?.\?.\?\\x1c|\\x1d.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x1d|\\x1e.\?.\?.\?.\?.\?.\?.\?.\?\\x1e|\\x1f.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x1f|\\x20.\?.\?.\?.\?.\?.\?.\?.\?\\x20|\\x21.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x21|\\x22.\?.\?.\?.\?.\?.\?.\?.\?\\x22|\\x23.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x23|\\\$.\?.\?.\?.\?.\?.\?.\?.\?\\\$|\\x25.\?.\?.\?.\?.\?.\?.\?.\?\
    \\x25|\\x26.\?.\?.\?.\?.\?.\?.\?.\?\\x26|\\x27.\?.\?.\?.\?.\?.\?.\?.\?\\x2\
    7|\\(.\?.\?.\?.\?.\?.\?.\?.\?\\(|\\).\?.\?.\?.\?.\?.\?.\?.\?\\)|\\*.\?.\?.\
    \?.\?.\?.\?.\?.\?\\*|\\+.\?.\?.\?.\?.\?.\?.\?.\?\\+|\\x2c.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x2c|\\x2d.\?.\?.\?.\?.\?.\?.\?.\?\\x2d|\\..\?.\?.\?.\?.\?.\?.\?.\
    \?\\.|\\x2f.\?.\?.\?.\?.\?.\?.\?.\?\\x2f|\\x30.\?.\?.\?.\?.\?.\?.\?.\?\\x3\
    0|\\x31.\?.\?.\?.\?.\?.\?.\?.\?\\x31|\\x32.\?.\?.\?.\?.\?.\?.\?.\?\\x32|\\\
    x33.\?.\?.\?.\?.\?.\?.\?.\?\\x33|\\x34.\?.\?.\?.\?.\?.\?.\?.\?\\x34|\\x35.\
    \?.\?.\?.\?.\?.\?.\?.\?\\x35|\\x36.\?.\?.\?.\?.\?.\?.\?.\?\\x36|\\x37.\?.\
    \?.\?.\?.\?.\?.\?.\?\\x37|\\x38.\?.\?.\?.\?.\?.\?.\?.\?\\x38|\\x39.\?.\?.\
    \?.\?.\?.\?.\?.\?\\x39|\\x3a.\?.\?.\?.\?.\?.\?.\?.\?\\x3a|\\x3b.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x3b|\\x3c.\?.\?.\?.\?.\?.\?.\?.\?\\x3c|\\x3d.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x3d|\\x3e.\?.\?.\?.\?.\?.\?.\?.\?\\x3e|\\\?.\?.\?.\?.\?.\?.\?\
    .\?.\?\\\?|\\x40.\?.\?.\?.\?.\?.\?.\?.\?\\x40|\\x41.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x41|\\x42.\?.\?.\?.\?.\?.\?.\?.\?\\x42|\\x43.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x43|\\x44.\?.\?.\?.\?.\?.\?.\?.\?\\x44|\\x45.\?.\?.\?.\?.\?.\?.\?.\?\\x45|\
    \\x46.\?.\?.\?.\?.\?.\?.\?.\?\\x46|\\x47.\?.\?.\?.\?.\?.\?.\?.\?\\x47|\\x4\
    8.\?.\?.\?.\?.\?.\?.\?.\?\\x48|\\x49.\?.\?.\?.\?.\?.\?.\?.\?\\x49|\\x4a.\?\
    .\?.\?.\?.\?.\?.\?.\?\\x4a|\\x4b.\?.\?.\?.\?.\?.\?.\?.\?\\x4b|\\x4c.\?.\?.\
    \?.\?.\?.\?.\?.\?\\x4c|\\x4d.\?.\?.\?.\?.\?.\?.\?.\?\\x4d|\\x4e.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x4e|\\x4f.\?.\?.\?.\?.\?.\?.\?.\?\\x4f|\\x50.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x50|\\x51.\?.\?.\?.\?.\?.\?.\?.\?\\x51|\\x52.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x52|\\x53.\?.\?.\?.\?.\?.\?.\?.\?\\x53|\\x54.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x54|\\x55.\?.\?.\?.\?.\?.\?.\?.\?\\x55|\\x56.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x56|\\x57.\?.\?.\?.\?.\?.\?.\?.\?\\x57|\\x58.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x58|\\x59.\?.\?.\?.\?.\?.\?.\?.\?\\x59|\\x5a.\?.\?.\?.\?.\?.\?.\?.\?\\x5a|\
    \\[.\?.\?.\?.\?.\?.\?.\?.\?\\[|\\\\.\?.\?.\?.\?.\?.\?.\?.\?\\\\|\\].\?.\?.\
    \?.\?.\?.\?.\?.\?\\]|\\^.\?.\?.\?.\?.\?.\?.\?.\?\\^|\\x5f.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x5f|\\x60.\?.\?.\?.\?.\?.\?.\?.\?\\x60|\\x61.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x61|\\x62.\?.\?.\?.\?.\?.\?.\?.\?\\x62|\\x63.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x63|\\x64.\?.\?.\?.\?.\?.\?.\?.\?\\x64|\\x65.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x65|\\x66.\?.\?.\?.\?.\?.\?.\?.\?\\x66|\\x67.\?.\?.\?.\?.\?.\?.\?.\?\\x67|\
    \\x68.\?.\?.\?.\?.\?.\?.\?.\?\\x68|\\x69.\?.\?.\?.\?.\?.\?.\?.\?\\x69|\\x6\
    a.\?.\?.\?.\?.\?.\?.\?.\?\\x6a|\\x6b.\?.\?.\?.\?.\?.\?.\?.\?\\x6b|\\x6c.\?\
    .\?.\?.\?.\?.\?.\?.\?\\x6c|\\x6d.\?.\?.\?.\?.\?.\?.\?.\?\\x6d|\\x6e.\?.\?.\
    \?.\?.\?.\?.\?.\?\\x6e|\\x6f.\?.\?.\?.\?.\?.\?.\?.\?\\x6f|\\x70.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x70|\\x71.\?.\?.\?.\?.\?.\?.\?.\?\\x71|\\x72.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x72|\\x73.\?.\?.\?.\?.\?.\?.\?.\?\\x73|\\x74.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x74|\\x75.\?.\?.\?.\?.\?.\?.\?.\?\\x75|\\x76.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x76|\\x77.\?.\?.\?.\?.\?.\?.\?.\?\\x77|\\x78.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x78|\\x79.\?.\?.\?.\?.\?.\?.\?.\?\\x79|\\x7a.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x7a|\\{.\?.\?.\?.\?.\?.\?.\?.\?\\{|\\|.\?.\?.\?.\?.\?.\?.\?.\?\\||\\}.\?.\
    \?.\?.\?.\?.\?.\?.\?\\}|\\x7e.\?.\?.\?.\?.\?.\?.\?.\?\\x7e|\\x7f.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x7f|\\x80.\?.\?.\?.\?.\?.\?.\?.\?\\x80|\\x81.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x81|\\x82.\?.\?.\?.\?.\?.\?.\?.\?\\x82|\\x83.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x83|\\x84.\?.\?.\?.\?.\?.\?.\?.\?\\x84|\\x85.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x85|\\x86.\?.\?.\?.\?.\?.\?.\?.\?\\x86|\\x87.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x87|\\x88.\?.\?.\?.\?.\?.\?.\?.\?\\x88|\\x89.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x89|\\x8a.\?.\?.\?.\?.\?.\?.\?.\?\\x8a|\\x8b.\?.\?.\?.\?.\?.\?.\?.\?\\x8b|\
    \\x8c.\?.\?.\?.\?.\?.\?.\?.\?\\x8c|\\x8d.\?.\?.\?.\?.\?.\?.\?.\?\\x8d|\\x8\
    e.\?.\?.\?.\?.\?.\?.\?.\?\\x8e|\\x8f.\?.\?.\?.\?.\?.\?.\?.\?\\x8f|\\x90.\?\
    .\?.\?.\?.\?.\?.\?.\?\\x90|\\x91.\?.\?.\?.\?.\?.\?.\?.\?\\x91|\\x92.\?.\?.\
    \?.\?.\?.\?.\?.\?\\x92|\\x93.\?.\?.\?.\?.\?.\?.\?.\?\\x93|\\x94.\?.\?.\?.\
    \?.\?.\?.\?.\?\\x94|\\x95.\?.\?.\?.\?.\?.\?.\?.\?\\x95|\\x96.\?.\?.\?.\?.\
    \?.\?.\?.\?\\x96|\\x97.\?.\?.\?.\?.\?.\?.\?.\?\\x97|\\x98.\?.\?.\?.\?.\?.\
    \?.\?.\?\\x98|\\x99.\?.\?.\?.\?.\?.\?.\?.\?\\x99|\\x9a.\?.\?.\?.\?.\?.\?.\
    \?.\?\\x9a|\\x9b.\?.\?.\?.\?.\?.\?.\?.\?\\x9b|\\x9c.\?.\?.\?.\?.\?.\?.\?.\
    \?\\x9c|\\x9d.\?.\?.\?.\?.\?.\?.\?.\?\\x9d|\\x9e.\?.\?.\?.\?.\?.\?.\?.\?\\\
    x9e|\\x9f.\?.\?.\?.\?.\?.\?.\?.\?\\x9f|\\xa0.\?.\?.\?.\?.\?.\?.\?.\?\\xa0|\
    \\xa1.\?.\?.\?.\?.\?.\?.\?.\?\\xa1|\\xa2.\?.\?.\?.\?.\?.\?.\?.\?\\xa2|\\xa\
    3.\?.\?.\?.\?.\?.\?.\?.\?\\xa3|\\xa4.\?.\?.\?.\?.\?.\?.\?.\?\\xa4|\\xa5.\?\
    .\?.\?.\?.\?.\?.\?.\?\\xa5|\\xa6.\?.\?.\?.\?.\?.\?.\?.\?\\xa6|\\xa7.\?.\?.\
    \?.\?.\?.\?.\?.\?\\xa7|\\xa8.\?.\?.\?.\?.\?.\?.\?.\?\\xa8|\\xa9.\?.\?.\?.\
    \?.\?.\?.\?.\?\\xa9|\\xaa.\?.\?.\?.\?.\?.\?.\?.\?\\xaa|\\xab.\?.\?.\?.\?.\
    \?.\?.\?.\?\\xab|\\xac.\?.\?.\?.\?.\?.\?.\?.\?\\xac|\\xad.\?.\?.\?.\?.\?.\
    \?.\?.\?\\xad|\\xae.\?.\?.\?.\?.\?.\?.\?.\?\\xae|\\xaf.\?.\?.\?.\?.\?.\?.\
    \?.\?\\xaf|\\xb0.\?.\?.\?.\?.\?.\?.\?.\?\\xb0|\\xb1.\?.\?.\?.\?.\?.\?.\?.\
    \?\\xb1|\\xb2.\?.\?.\?.\?.\?.\?.\?.\?\\xb2|\\xb3.\?.\?.\?.\?.\?.\?.\?.\?\\\
    xb3|\\xb4.\?.\?.\?.\?.\?.\?.\?.\?\\xb4|\\xb5.\?.\?.\?.\?.\?.\?.\?.\?\\xb5|\
    \\xb6.\?.\?.\?.\?.\?.\?.\?.\?\\xb6|\\xb7.\?.\?.\?.\?.\?.\?.\?.\?\\xb7|\\xb\
    8.\?.\?.\?.\?.\?.\?.\?.\?\\xb8|\\xb9.\?.\?.\?.\?.\?.\?.\?.\?\\xb9|\\xba.\?\
    .\?.\?.\?.\?.\?.\?.\?\\xba|\\xbb.\?.\?.\?.\?.\?.\?.\?.\?\\xbb|\\xbc.\?.\?.\
    \?.\?.\?.\?.\?.\?\\xbc|\\xbd.\?.\?.\?.\?.\?.\?.\?.\?\\xbd|\\xbe.\?.\?.\?.\
    \?.\?.\?.\?.\?\\xbe|\\xbf.\?.\?.\?.\?.\?.\?.\?.\?\\xbf|\\xc0.\?.\?.\?.\?.\
    \?.\?.\?.\?\\xc0|\\xc1.\?.\?.\?.\?.\?.\?.\?.\?\\xc1|\\xc2.\?.\?.\?.\?.\?.\
    \?.\?.\?\\xc2|\\xc3.\?.\?.\?.\?.\?.\?.\?.\?\\xc3|\\xc4.\?.\?.\?.\?.\?.\?.\
    \?.\?\\xc4|\\xc5.\?.\?.\?.\?.\?.\?.\?.\?\\xc5|\\xc6.\?.\?.\?.\?.\?.\?.\?.\
    \?\\xc6|\\xc7.\?.\?.\?.\?.\?.\?.\?.\?\\xc7|\\xc8.\?.\?.\?.\?.\?.\?.\?.\?\\\
    xc8|\\xc9.\?.\?.\?.\?.\?.\?.\?.\?\\xc9|\\xca.\?.\?.\?.\?.\?.\?.\?.\?\\xca|\
    \\xcb.\?.\?.\?.\?.\?.\?.\?.\?\\xcb|\\xcc.\?.\?.\?.\?.\?.\?.\?.\?\\xcc|\\xc\
    d.\?.\?.\?.\?.\?.\?.\?.\?\\xcd|\\xce.\?.\?.\?.\?.\?.\?.\?.\?\\xce|\\xcf.\?\
    .\?.\?.\?.\?.\?.\?.\?\\xcf|\\xd0.\?.\?.\?.\?.\?.\?.\?.\?\\xd0|\\xd1.\?.\?.\
    \?.\?.\?.\?.\?.\?\\xd1|\\xd2.\?.\?.\?.\?.\?.\?.\?.\?\\xd2|\\xd3.\?.\?.\?.\
    \?.\?.\?.\?.\?\\xd3|\\xd4.\?.\?.\?.\?.\?.\?.\?.\?\\xd4|\\xd5.\?.\?.\?.\?.\
    \?.\?.\?.\?\\xd5|\\xd6.\?.\?.\?.\?.\?.\?.\?.\?\\xd6|\\xd7.\?.\?.\?.\?.\?.\
    \?.\?.\?\\xd7|\\xd8.\?.\?.\?.\?.\?.\?.\?.\?\\xd8|\\xd9.\?.\?.\?.\?.\?.\?.\
    \?.\?\\xd9|\\xda.\?.\?.\?.\?.\?.\?.\?.\?\\xda|\\xdb.\?.\?.\?.\?.\?.\?.\?.\
    \?\\xdb|\\xdc.\?.\?.\?.\?.\?.\?.\?.\?\\xdc|\\xdd.\?.\?.\?.\?.\?.\?.\?.\?\\\
    xdd|\\xde.\?.\?.\?.\?.\?.\?.\?.\?\\xde|\\xdf.\?.\?.\?.\?.\?.\?.\?.\?\\xdf|\
    \\xe0.\?.\?.\?.\?.\?.\?.\?.\?\\xe0|\\xe1.\?.\?.\?.\?.\?.\?.\?.\?\\xe1|\\xe\
    2.\?.\?.\?.\?.\?.\?.\?.\?\\xe2|\\xe3.\?.\?.\?.\?.\?.\?.\?.\?\\xe3|\\xe4.\?\
    .\?.\?.\?.\?.\?.\?.\?\\xe4|\\xe5.\?.\?.\?.\?.\?.\?.\?.\?\\xe5|\\xe6.\?.\?.\
    \?.\?.\?.\?.\?.\?\\xe6|\\xe7.\?.\?.\?.\?.\?.\?.\?.\?\\xe7|\\xe8.\?.\?.\?.\
    \?.\?.\?.\?.\?\\xe8|\\xe9.\?.\?.\?.\?.\?.\?.\?.\?\\xe9|\\xea.\?.\?.\?.\?.\
    \?.\?.\?.\?\\xea|\\xeb.\?.\?.\?.\?.\?.\?.\?.\?\\xeb|\\xec.\?.\?.\?.\?.\?.\
    \?.\?.\?\\xec|\\xed.\?.\?.\?.\?.\?.\?.\?.\?\\xed|\\xee.\?.\?.\?.\?.\?.\?.\
    \?.\?\\xee|\\xef.\?.\?.\?.\?.\?.\?.\?.\?\\xef|\\xf0.\?.\?.\?.\?.\?.\?.\?.\
    \?\\xf0|\\xf1.\?.\?.\?.\?.\?.\?.\?.\?\\xf1|\\xf2.\?.\?.\?.\?.\?.\?.\?.\?\\\
    xf2|\\xf3.\?.\?.\?.\?.\?.\?.\?.\?\\xf3|\\xf4.\?.\?.\?.\?.\?.\?.\?.\?\\xf4|\
    \\xf5.\?.\?.\?.\?.\?.\?.\?.\?\\xf5|\\xf6.\?.\?.\?.\?.\?.\?.\?.\?\\xf6|\\xf\
    7.\?.\?.\?.\?.\?.\?.\?.\?\\xf7|\\xf8.\?.\?.\?.\?.\?.\?.\?.\?\\xf8|\\xf9.\?\
    .\?.\?.\?.\?.\?.\?.\?\\xf9|\\xfa.\?.\?.\?.\?.\?.\?.\?.\?\\xfa|\\xfb.\?.\?.\
    \?.\?.\?.\?.\?.\?\\xfb|\\xfc.\?.\?.\?.\?.\?.\?.\?.\?\\xfc|\\xfd.\?.\?.\?.\
    \?.\?.\?.\?.\?\\xfd|\\xfe.\?.\?.\?.\?.\?.\?.\?.\?\\xfe|\\xff.\?.\?.\?.\?.\
    \?.\?.\?.\?\\xff)"
add comment="" name=skypetoskype regexp="^..\\x02............."
 
/ip firewall filter
add action=drop layer7-protocol=skypeout chain=forward disabled=no 
add action=drop layer7-protocol=skypetoskype chain=forward disabled=no

MONITORING

След като конфигурирахме рутера до тук ще имаме нужда от някаква статистика:
В най десния ред виждаме колко опита е имало за отваряне на определен сайт.

ip proxy access print


Тук виждаме реалните конекции които минават през прокси сървъра.

ip proxy connections print


Тук също виждаме реалните конекции но с тази разлика, че виждаме всички а не само тези които преминават през прокси сървъра.

ip firewall connection print


Листваме правилата в защитната стена.

ip firewall filter print


А тук виждаме колко трафик и пакети преминават през правилата на защитната стена.

ip firewall filter stats print


В заключение искам пак да повторя, че показаните тук рестрикции са просто един базов пример и винаги има някакъв трик или технология за заобикалянето и като някакъв вид VPN или “умно” приложение но от една страна потребителят трябва да има нужните знания и ресурс а от друга винаги има възможност за по професионално решение на проблема.

MikroTik Proxy, Firewall, p2p, layer7

3 comments on “MikroTik Proxy, Firewall, p2p, layer7

  1. За спорта можеш и да забраниш пинга.Все пак и върху него могат да се пущат тунели и току виж някой се изхитрил 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *