Použitelnost proxy v MikroTiku

[blacknoisex]

Zdarec, zkoušel někdo v provozu proxy u silnějších Mikrotiků? Jde mi o použitelnost třeba RB1100AHx4 s 64GB SSD.

[Reklama]

[Miroslav Šilhavý]

Zdarec, zkoušel někdo v provozu proxy u silnějších Mikrotiků? Jde mi o použitelnost třeba RB1100AHx4 s 64GB SSD.

Co od té proxy očekáváte? Jen přístup, nebo filtrování, nebo cachování?
RB1100 není výkonově žádný zázrak, srovnejte s CCR, nebe a dudy.

[blacknoisex]

Zázraky nečekám, řekněme že u pár strojů osekat přístupy, nějaké to filtrování.
Zatím se v tom hrabu, RB1100AHx4 budu brat z jiných důvodů.

Co používáte jako uzavřené hotové řešení, řekněme pro 20 PC?

[Miroslav Šilhavý]

Co používáte jako uzavřené hotové řešení, řekněme pro 20 PC?

Pro 20 PC z toho dobrou proxy neuděláte, HTTPS tím nevyfiltrujete.
Pokud chcete proxy a filtrovat provoz, pak mi nejschůdnější přijde pfSense a nastavit v něm Squid a SquidGuard.

Jen upozornění, na kvůli HTTPS nemůžete udělat proxy transparentní. Budete muset na všech PC nastavit proxy ručně, nebo ještě nastavit autokonfiguraci.

[blacknoisex]

takže se to nikam nepohlo - nevadí - čekal jsem to dík

[Reklama]

[Vladimír Smitka]

Lze využít L7 filtr (bude vcelku dobře fungovat i pro HTTPS - díky SNI), nebo jen pro HTTPS lze použít kontrolu tls-host (opět díky SNI). Tyhle featury ale dokáží mikrotik pěkně zavařit :-)

Osobně bych se pokusil o nějakou blokaci pomocí DNS + zakázat venkovní DNS servery.

[Miroslav Šilhavý]

Osobně bych se pokusil o nějakou blokaci pomocí DNS + zakázat venkovní DNS servery.

To je podle mě komplikovanější na správu, než SquidGuard - ale zase to nepotřebuje nastavovat proxy na počítačích.
Pokud má uživatel práva administrátora na své stanici, tak to jednoduše obejde přes hosts nebo právě nastavením externího proxy serveru.
Jde o to, jak vysokou úroveň ochrany (před uživateli) potřebujete.