Mikrotik для контроля сетевого трафика пользователей: составляем отчеты о пользователях и сайтах.
На вебинаре мы разберем, каким образом решить часто задаваемую задачу: как определить, кто из пользователей куда ходит и на каких сайтах проводит рабочее время.
Для данного метода есть несколько разноплановых подходов:
— Использование специализированных DNS-сервисов (быстро, дешево, неточно)
— Использование встроенного Proxy-Сервера в Mikrotik (дешево, сложно, мало данных)
— Использование Mikrotik в паре с SQUID прокси (сложно, круто, много данных, много возможностей)
На вебинаре мы разберем все три метода и подробно остановимся на третьем методе. Покажем, как это реализовать в своей компании.
2. Вопросы вебинара
2
Контроль сайтов и пользователей на Mikrotik: кто куда ходит.
.
Курсы по Mikrotik с гарантией результата
• Способы сбора статистики
• Использование специализированных DNS-сервисов
• Использование встроенного Proxy-Сервера в Mikrotik
• Использование Mikrotik в паре с SQUID прокси
• Обсуждение решений
3. Использование специализированных DNS-сервисов
3
Контроль сайтов и пользователей на Mikrotik: кто куда ходит
Курсы по Mikrotik с гарантией результата
• Для примера используем rejector.ru
• Регистрируемся на rejector.ru
• Привязываем нашу сеть к сервису
• Настраиваем правила
• Настройка mikrotik :
• /ip dns set servers=95.154.128.32,78.46.36.8 (Прописываем адреса
DNS серверов)
• /ip dns set allow-remote-requests=yes (Включаем кеширующий DNS –
сервер на mikrotik)
• /ip firewall filter add chain=input protocol=udp port=53 in-
interface=ether-inet action=drop(Блокируем внешний доступ к DNS –
серверу)
• /ip firewall nat add chain=dstnat protocol=udp port=53 action=redirect
(Перенаправляем все DNS запросы из локальной сети на MikroTik)
7. Использование Mikrotik в паре с SQUID прокси
6
Контроль сайтов и пользователей на Mikrotik: кто куда ходит
.
Курсы по Mikrotik с гарантией результата
• /ip firewall mangele add action=mark-routing chain=prerouting disabled=yes dst-
address=!192.168.78.0/24 dst-port=80,443,8080 new-routing-mark=squid
passthrough=yes protocol=tcp src-address=!192.68.78.33 src-address-list=squid
(Направление всего трафика на хост с прокси сервером SQUID)
• /ip routeadd distance=1 gateway=192.168.78.33 routing-mark=squid
8. Использование Mikrotik в паре с SQUID прокси
6
Контроль сайтов и пользователей на Mikrotik: кто куда ходит
.
Курсы по Mikrotik с гарантией результата
Для работы в прозрачном режиме требуется собрать из исходников с отключенной hostHeaderIpVerify
acl localnet src 192.168.78.0/24 # RFC1918 possible internal network
dns_nameservers 8.8.8.8
#Непрозрачный порт, через который происходит взаимодействие клиентских хостов с прокси-сервером
http_port 0.0.0.0:3130 options=NO_SSLv3:NO_SSLv2
#прозрачный порт указывается опцией intercept
http_port 0.0.0.0:3128 intercept options=NO_SSLv3:NO_SSLv2
#HTTPS порт
https_port 0.0.0.0:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
9. Использование Mikrotik в паре с SQUID прокси
6
Контроль сайтов и пользователей на Mikrotik: кто куда ходит
.
Курсы по Mikrotik с гарантией результата
10. Использование Mikrotik в паре с SQUID прокси
6
Контроль сайтов и пользователей на Mikrotik: кто куда ходит
.
Курсы по Mikrotik с гарантией результата
11. Итоги
6
Контроль сайтов и пользователей на Mikrotik: кто куда ходит
.
Курсы по Mikrotik с гарантией результата
• Использование специализированных DNS-сервисов
• «+» Просто настраивается
• «-» Слабая статистика
• «-» Платные решения
• Использование встроенного Proxy-Сервера в Mikrotik
• «+» Просто настраивается
• «-» Только http трафик
• «-» Сложно анализировать статистику
• Использование Mikrotik в паре с SQUID прокси
• «+» Хорошая детализация
• «+» Множество возможностей по фильтрации
• «-» Сложно настраивается