Възможности с MikroTik

[it.vladimirov]

Здравейте момчета и момичета,

имам следното изискване към рутер (или машина с инсталиран mikrotik) който да може:

- изграждане на IPSec
- апликейшън контрол (за филтриране на приложения работещи на машини в мрежата, L7)
- кънтент филтър
- web филтър

Моля за насока, дали тези неща могат да се постигнат с MikroTik, за да знам и да започвам четене (или да намеря кой да ми направи всичко това и аз само да го ползвам).

Предварително благодаря за компетентните насоки.

[Mupo neTkoB]

какви са тези приложения работещи на машини в мрежата?

Ипсек - може

Л7 - може

уеб филтър - може

кънтент филтър - може

[it.vladimirov]

@Mupo neTkoB - благодаря ти за бързия отговор и насока.
Идеята ми за ограничаване на приложения е това да се прави на даден хост от мрежата, а приложенията са във вида на Skype, ICQ и подобни инстант месиджъри. Идеята ми е да не се ползва локално прокси, защото често машините се сменят в мрежата, и не искам допълнителна настройка.

 

Довечера ще започна да попрочитам документацията да видя как (основно) се реализират горните ми желания.

[Mupo neTkoB]

Тези месинджъри може да се блокират - било то с Л7 или дропване на целите им мрежи като темата Според мен обаче системния администратор не може и не му е работа да накара служителите да работят - има си управители и с блокирането на някой неща не винаги спираш "чатенето" защото с малки познания пак може да те пързулнат 

[kokaracha]

По добре чети за transparent proxy/прозрачнно прокси

п.п всички заигравки с филтри и микротици ще са загуба на време

[it.vladimirov]

Пробвах решение във вида на Untangle - безплатната версия буквално нищо не може, липсва всякаква гъвкавост при настройките и само си загубих времето. Той работеше като transparent proxy.
Да, филтрираше доста неща, и се справяше с доста, но реално правеше повече проблеми отколкото вършеше полезни неща.

 

За много неща - идеално се филтрират и на ниво работна машина (windows 7 има редица способи да ограничиш skype, ICQ - не, че не могат да ги стартират на 100%, но в 99% от случайте помага без ядове такова филтриране).
 

[Mupo neTkoB]

А пробва ли филтриране чрез Управителя или по друг начин казано филтриране чрез заплата

[it.vladimirov]

Ами не помага. Вероятно за няколко потребителя сработва, ама при повечето не.

[111111]

AD има чудна възможност да забранява пускане на приложения,

още преди да има нужда от филтриране на трафика.

[NeTmAsTeR]

http://www.opendns.com/

 

със кофти рутер и добър международен и фрии версията на опен днс върши страхотна работа

 

Edited March 4, 2014 by NeTmAsTeR

[kokaracha]

Аз ще работя с приложения/интернет и имам права над компютъра и ти ще разчиташ да съм прост/неук за да позлвам твоя днс ?

А дано ама надали

[NeTmAsTeR]

нема толко калпав админ дето да остави работните станции на лузърите със права над компа

ако има - то деня му минава във занимание с дивотии

[111111]

то и заявките към :53 също могат да се обработват като прозрачно прокси

[kokaracha]

Има разни хора ...прости,умни,хитри,изобретателни...

Я флашка с жива дистибуция ще си зареди,я ще тунелира или ще просира локално...

Има мазохисти (хитри са определено) които тунелират върху днс или пинг ...

Така че само с днс и филтри днес  няма как да стане

[NeTmAsTeR]

ще зареди ама друг път - биоса има пасс, кутиите са локнати, камери за наблюдение на лузърите

f2 , f9-f12 са на дисабле

дадох прост пример на работещо свръх ефтино решение пробвано и доказало се във практиката

Edited March 4, 2014 by NeTmAsTeR

[kokaracha]

Да ти кажа,може би работи при теб и на много малко други места още ....