Treinamento MikroTik Bsico

Avisos importantes

Favor, manter o celular no silencioso ou desligado durante a aula.

Evite o uso inapropriado da internet.

Busque absorver ao mximo os conceitos.

Perguntas sempre sero bem vindas.

Evite conversas paralelas.

Web Proxy
O Web Proxy possibilita o armazenamento de objetos Internet (dados disponveis
via protocolos HTTP e FTP) em um sistema local.
Navegadores Internet usando web-proxy podem acelerar o acesso e reduzir o
consumo de banda.
Quando configurar o Web proxy, certifique-se que apenas os clientes da rede local
utilizaro o mesmo, pois uma configurao aberta permitir o acesso externo,
trazendo problemas graves de segurana.
Com o Web Proxy possvel criar filtros de acesso a contedo indesejvel, tornando
a navegao mais segura aos clientes.
Um web proxy em execuo, mesmo sem cache, pode ser til como um firewall
HTTP e FTP (negar acesso a determinados tipos de arquivo, como por exemplo
MP3) ou ainda para redirecionar os pedidos de proxy externos.

Web Proxy
O MikroTik RouterOS implementa um web-proxy com as seguintes caractersticas:

HTTP proxy

Transparent proxy. Onde transparente e HTPP ao mesmo tempo

Lista de Acesso por origem, destino, URL e mtodos de requisio

Lista de Acesso Cache (especifica os objetos que podero ou no ser

cacheados)
Lista de Acesso Direto (especifica quais recursos devero ser acessados
diretamente - atravs de outro web-proxy)
Sistema de Logging

Configurao do Proxy
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:

Clear Cache Serve para esvaziar o cache armazenado (dependendo do

tamaho do cache esta opo poder ser bastante lenta).
Enable Utilizado para habilitar ou desabilitar o web-proxy.
Src.Address - poder ficar em branco. Em caso de uma hierarquia de proxy, este
ser o endereo IP utilizado pelo protocolo ICP. O src.address quando deixado
em branco (0.0.0.0/0) ser automaticamente configurado pela tabela de
roteamento.
Port - A porta onde o web-proxy escutar.
Parent Proxy - Utilizado para indicar o IP de um servidor proxy pai numa
hierarquia de proxy.

Configurao do Proxy

Parent Proxy Port - A porta que o parent proxy escuta.

Cache Administrator - Um nome ou endereo de e-mail para exibio no caso de avisos
emitidos aos clientes.
Max. Cache Size - Tamanho mximo em kiBytes que o cache atingir.
Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitado o
armazenamento ser na RAM (Random Access Memory).
Max Client Connections - nmero mximo de conexes simultneas de clientes permitidas
no proxy. Aps antigido o limite configurado todas as novas conexes sero rejeitadas.
Max Server Connections - nmero mximo de conexes simultneas do proxy para
servidores externos. Todas as novas conexes sero colocadas em espera at que algumas
das conexes ativas sejam encerradas.

Configurao do Proxy

Max Fresh Time: um limite mximo de quanto tempo objetos sem um termo
explcito de validade sero consideradas atuais (depois de quanto o tempo o
proxy dever realizar uma nova consulta e atualizar os objetos).
Serialize Connections: No habilitar mltiplas conexes ao servidor para
mltiplas conexes do cliente, quando possvel (servidor suportar conexes
HTTP persistentes). Os clientes sero atendidos em princpio pelo mtodo FIFO;
o prximo cliente processado quando a transferncia para a sesso anterior
for concluda. Se um cliente est inativo por algum tempo (no mximo 5
segundos, por padro), o servidor ir interromper a conexo e abrir outra.
Always From Cache - ignorar pedidos de atualizao dos clientes, caso o
contedo seja considerado atual.
Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCP
configurado.

Configurao do Proxy

Cache Drive - exibe o disco que est em uso para o armazenamento dos objetos
em cache. Para configurar o disco necessrio acessar o menu Stores.

OBSERVAO: O web proxy escuta todos os endereos IP que esto configurados

no servidor.

Armazenamento do Proxy
Submenu:/stores
Com esta opo podemos gerenciar a mdia onde ser armazenado os objetos do
cache.

Possvel adicionar mais de 1 disco.

Copiar o contedo de um disco para outro.

Realizar checagem do disco para verificao de bad blocks.

Realizar formatao do disco, desde que no seja onde o sistema est instalado.

Monitorando o Proxy

Uptime - o tempo transcorrido desde que o proxy foi ativado.

Requests - total de requisies dos clientes ao proxy.

Hits - nmero de requisies dos clientes atendidas diretamente do cache, pelo

proxy.
Cache Used a quantidade do disco (ou da RAM se o cache armazenado
apenas na mesma) utilizada pelo cache.
RAM Cache Used quantidade da RAM utilizada pelo cache.
Total RAM Used - a quantidade da RAM utilizada pelo proxy (excluindo tamanho
da RAM Cache).

Monitorando o Proxy

Received From Servers - quantidade de dados, em kiBytes, recebidos de

servidores externos
Sent To Clients - quantidade de dados, em kiBytes, enviado aos clientes.
Hits Sent To Clients - quantidade, em kiBytes, de cache hits enviado aos
clientes.

Barra de Status
Exibe informaes do estado do web proxy

stopped - proxy est desabilitado e inativo

running - proxy est habilitado e ativo

formatting-disk - o disco do cache est sendo formatado

checking-disk - checando o disco que contm o cache para corrigir erros e

inconsistncias do mesmo.
invalid-address - proxy est habilitado, mas no est ativo, porque o endereo
IP invlido(dever ser alterado o endereo IP ou porta)

Lista de conexes
Submenu: /ip proxy connections
Este menu contem uma lista das conexes ativas do proxy Descrio das
Propriedades

dst-address endereo IP que os dados passaram atravs do proxy protocol nome do protocolo

rx-bytes - quantidade de bytes recebidos remotamente

src-address - endereo IP das conexes remotas

Lista de conexes
State

idle - esperando prximo cliente

resolving - resolvendo nome DNS

rx-body - recebendo quadro HTTP

rx-header - recebendo cabealho; ou esperando prxima requisio do cliente

tx-body - transmitindo quadro HTTP

tx-header - transmitindo cabealho HTTP

tx-bytes - quantidade de bytes enviados remotamente

Lista de acesso
Submenu: /ip proxy access
A Lista de Acesso configurada da mesma forma que as regras de firewall. As
regras so processadas de cima para baixo. O primeiro matching da regra
especifica a tomada de deciso para a conexo. Existe um total de 6 classificadores
para especificar a regra.
Descrio das propriedades

src-address - endereo IP de origem do pacote.

dst-address - endereo de destino do pacote.

dst-port (port{1,10}) - uma porta ou uma lista de portas para onde o pacote
destinado.
local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este
valor deve corresponder a porta que o web-proxy est escutando.

Lista de acesso

dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo

(pode ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de
uma pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) Mtodo HTTP usado nas requisies (veja a seo Mtodos HTTP no final deste
documento).
action (allow | deny; default: allow) - especifica a ao de negar ou liberar os
pacotes que atravessam o web-proxy.

Nota Lista de acesso

Por padro, aconselhvel configurar uma regra para prevenir requisies nas
portas 443 e 563 (conexes atravs de SSL e NEWS).
As opes dst-host e path, corresponde a uma string completa (ex.: no existir
um matching para "example.com" se for configurado apenas "example").
O uso de curingas tambm possvel: '*' (combina um nmero qualquer de
caracteres) e '? '(combina um caractere qualquer).
Expresses regulares tambm so permitidas, e devero iniciar por 2 pontos
(':') como no exemplo:
/ip proxy access add dst-host=":\\.mp\[3g\]$" action=deny

Lista de Gerenciamento de cache

Submenu: /ip proxy cache
A Lista de Gerenciamento do Cache especifica como as requisies (domnios,
servidores, pginas) sero cacheadas ou no pelo servidor web-proxy. Esta lista
lista implementada da mesma forma que a Lista de Acesso. A ao padro
cachear os objetos se no existir nenhuma regra.
Descrio das propriedades

src-address (IP address/netmask) - IP de origem do pacote.

dst-address (IP address/netmask) - IP de destino do pacote.

dst-port (port{1,10}) - uma lista de portas que o pacote destinado.

local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido.

Este valor dever corresponder a porta que o web-proxy est escutando.
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo
(pode ser apenas uma parte da URL)

Continuao

path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de

uma pgina web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) Mtodo HTTP usado nas requisies (veja a seo Mtodos HTTP no final deste
documento).
action (allow | deny; default: allow) especifica a ao a ser tomada quando
um matching ocorrer.

allow - cacheia o objeto de acordo com a regra.

deny no cacheia o objeto de acordo com a regra.

Continuao

Direcionamento ao web-proxy
Regra de firewall para direcionar para um web-proxy externo.

Utiliza-se a opo firewall nat e insere uma nova regra para protocolo TCP e
porta de destino 80;
Na guia Advanced, insira uma lista de endereos IP, os quais no sero
redirecionados ao web-proxy;
Na guia Action, ser a configurada a ao de dst-nat para o IP e a porta onde o
web-proxy externo est escutando.

Lista de endereos IP
Aqui temos um exemplo de configurao de uma lista de endereos Ips, os
quais no faro parte das regras de redirecionamento ou dst-nat.
Submenu: /ip firewall adress-list

Proteo ao Web-Proxy
Filtro de firewall para proteger o acesso ao web-proxy de origens desconhecidas.
Submenu: /ip firewall filter

/ip firewall filter

add action=drop chain=input comment="" disabled=no dst-port=8080 ininterface=WAN protocol=tcp

Dvidas?