MikroTik RouterOS melakukan proxy permintaan HTTP dan HTTP-proxy (untuk FTP dan HTTP). Proxy server melakukan fungsi cache objek Internet dengan menyimpan objek Internet yang diminta, yaitu, data yang tersedia melalui protokol HTTP dan FTP pada sistem yang diposisikan lebih dekat ke penerima dalam bentuk mempercepat penjelajahan pengguna dengan mengirimkan salinan file yang diminta dari cache proxy di jaringan lokal. kecepatan. MikroTik RouterOS mengimplementasikan fitur server proxy berikut ini:
Proxy HTTP biasa - pelanggan (sendiri) menentukan server proxy apa untuknya
Transparan proxy - pelanggan tidak tahu tentang proxy yang diaktifkan dan tidak memerlukan konfigurasi tambahan untuk browser web klien.
Akses daftar berdasarkan sumber, tujuan, URL dan metode yang diminta (firewall HTTP)
Daftar akses Cache untuk menentukan objek mana yang akan di-cache, dan mana yang tidak.
Daftar Akses Langsung - untuk menentukan sumber daya mana yang harus diakses secara langsung, dan yang - melalui server proxy lain
Fasilitas logging - memungkinkan untuk mendapatkan dan menyimpan informasi tentang operasi proxy
Dukungan proxy orang tua - memungkinkan untuk menentukan server proxy lain, ('jika mereka tidak memiliki objek yang diminta tanyakan kepada orang tua mereka, atau ke server asli.)
Server proxy biasanya ditempatkan di berbagai titik antara pengguna dan server tujuan (juga dikenal sebagai server asal) di Internet. (lihat Gambar 10.1).
Permintaan tembusan proxy (tembolok) dari klien, menyimpan salinan tanggapan untuk dirinya sendiri. Kemudian, jika ada permintaan lain untuk URL yang sama, maka dapat menggunakan respons yang dimilikinya, alih-alih meminta server asal untuk itu lagi. Jika proxy belum meminta file, file tersebut akan mendownloadnya dari server asli.
Ada banyak potensi tujuan dari server proxy:
Untuk meningkatkan kecepatan akses ke sumber daya (dibutuhkan sedikit waktu bagi klien untuk mendapatkan objek).
Bekerja sebagai firewall HTTP (menolak akses ke halaman web yang tidak diinginkan),
Memungkinkan untuk memfilter konten web (dengan parameter tertentu, seperti alamat sumber, alamat tujuan dan port, URL, metode permintaan HTTP) memindai konten keluar, mis., Untuk perlindungan data bocor.
[admin@MikroTik] ip proxy> set enabled=yes port=8080 src-address=195.10.10.1
Untuk mengaktifkan mode transparan, aturan firewall di NAT tujuan harus ditambahkan, menentukan koneksi mana (ke port mana) yang harus dialihkan secara transparan ke proxy. Periksa pengaturan proxy di atas dan arahkan kembali pengguna kami (192.168.1.0/24) ke server proxy.
[admin@MikroTik] ip firewall nat> add chain=dstnat protocol=tcp src-address=192.168.1.0/24 \ dst-port=80 action=redirect to-ports=8080
#ip proxy access add dst-host=:mail action=deny
#ip proxy access
Proxy HTTP biasa - pelanggan (sendiri) menentukan server proxy apa untuknya
Transparan proxy - pelanggan tidak tahu tentang proxy yang diaktifkan dan tidak memerlukan konfigurasi tambahan untuk browser web klien.
Akses daftar berdasarkan sumber, tujuan, URL dan metode yang diminta (firewall HTTP)
Daftar akses Cache untuk menentukan objek mana yang akan di-cache, dan mana yang tidak.
Daftar Akses Langsung - untuk menentukan sumber daya mana yang harus diakses secara langsung, dan yang - melalui server proxy lain
Fasilitas logging - memungkinkan untuk mendapatkan dan menyimpan informasi tentang operasi proxy
Dukungan proxy orang tua - memungkinkan untuk menentukan server proxy lain, ('jika mereka tidak memiliki objek yang diminta tanyakan kepada orang tua mereka, atau ke server asli.)
Server proxy biasanya ditempatkan di berbagai titik antara pengguna dan server tujuan (juga dikenal sebagai server asal) di Internet. (lihat Gambar 10.1).
Permintaan tembusan proxy (tembolok) dari klien, menyimpan salinan tanggapan untuk dirinya sendiri. Kemudian, jika ada permintaan lain untuk URL yang sama, maka dapat menggunakan respons yang dimilikinya, alih-alih meminta server asal untuk itu lagi. Jika proxy belum meminta file, file tersebut akan mendownloadnya dari server asli.
Ada banyak potensi tujuan dari server proxy:
Untuk meningkatkan kecepatan akses ke sumber daya (dibutuhkan sedikit waktu bagi klien untuk mendapatkan objek).
Bekerja sebagai firewall HTTP (menolak akses ke halaman web yang tidak diinginkan),
Memungkinkan untuk memfilter konten web (dengan parameter tertentu, seperti alamat sumber, alamat tujuan dan port, URL, metode permintaan HTTP) memindai konten keluar, mis., Untuk perlindungan data bocor.
Catatan: mungkin berguna untuk menjalankan proxy Web bahkan tanpa tembolok saat Anda ingin menggunakannya hanya sebagai firewall HTTP dan FTP (misalnya, menolak akses halaman web yang tidak diinginkan atau menolak jenis file tertentu misalnya file .mp3) atau untuk mengalihkan permintaan ke proxy eksternal (mungkin, ke proxy dengan fungsi caching) secara transparan.
[admin@MikroTik] ip proxy> print
enabled: yes
src-address: 195.10.10.1
port: 8080
parent-proxy: 0.0.0.0:0
cache-drive: system
cache-administrator: "admin@mikrotik.com"
max-disk-cache-size: none
max-ram-cache-size: 100000KiB
cache-only-on-disk: yes
maximal-client-connections: 1000
maximal-server-connections: 1000
max-fresh-time: 3d
Saat menyiapkan layanan proxy biasa, pastikan hanya melayani klien Anda dan mencegah akses yang tidak sah kepadanya dengan membuat firewall yang hanya mengizinkan klien Anda menggunakan proxy, jika tidak, itu bisa digunakan sebagai proxy terbuka.
Ingat bahwa proxy biasa juga memerlukan konfigurasi browser web klien.
Sebagai contoh:
Explorer 8.x
|
Firefox 3.x
|
Opera 10.x
|
Select Tools>Internet options.
Click the Connections tab.
Select the necessary connection and choose Settings button.
Configure proxy address and port.
|
Select Tools>Options.
Click the Advanced tab.
Open the Network tab.
Click the Connection/Settings
Select Manual proxy configuration'
|
Select Tool>Preferences.
Open the Advanced tab/Network.
Click the Proxy servers.
Enter proxy address and port.
|
Contoh konfigurasi proxy Transparan
RouterOS juga dapat bertindak sebagai server Transparan Caching, tanpa konfigurasi yang diperlukan di browser web pelanggan. Proxy transparan tidak mengubah URL atau respons yang diminta. RouterOS akan menerima semua permintaan HTTP dan mengalihkannya ke layanan proxy lokal. Proses ini akan sepenuhnya transparan bagi pengguna (pengguna mungkin tidak tahu apa-apa tentang server proxy yang berada di antara mereka dan server asli), dan satu-satunya perbedaannya adalah peningkatan kecepatan penjelajahan.
Untuk mengaktifkan mode transparan, aturan firewall di NAT tujuan harus ditambahkan, menentukan koneksi mana (ke port mana) yang harus dialihkan secara transparan ke proxy. Periksa pengaturan proxy di atas dan arahkan kembali pengguna kami (192.168.1.0/24) ke server proxy.
[admin@MikroTik] ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
[admin@MikroTik] ip firewall nat>
Proxy web dapat digunakan sebagai proxy web transparan dan normal pada saat bersamaan. Dalam mode transparan adalah mungkin untuk menggunakannya sebagai proxy web standar juga. Namun, dalam kasus ini, pengguna proxy mungkin mengalami kesulitan untuk mencapai halaman web yang diakses secara transparan.
Firewall berbasis proxy - Daftar Akses
Daftar akses diimplementasikan dengan cara yang sama seperti aturan firewall MikroTik yang diproses dari atas ke bawah. Aturan pencocokan pertama menentukan keputusan tentang apa yang harus dilakukan dengan koneksi ini. Koneksi dapat dicocokkan dengan alamat sumber, alamat tujuan, port tujuan, sub-string URL yang diminta (Uniform Resource Locator) atau metode permintaan. Jika tidak satu pun parameter ini ditentukan, setiap koneksi akan sesuai dengan peraturan ini.
Jika koneksi disesuaikan dengan aturan, properti tindakan dari aturan ini menentukan apakah koneksi akan diizinkan atau tidak (menolak). Jika koneksi tidak sesuai dengan aturan apapun, itu akan diizinkan.
Dalam contoh ini diasumsikan bahwa kita telah mengkonfigurasi transparent proxy server seperti yang diberikan pada contoh di atas.
Blokir Situs Web tertentu
#ip proxy access add dst-host=www.facebook.com action=deny
Ini akan memblokir situs http://www.facebook.com, kita selalu bisa memblokir hal yang sama untuk jaringan yang berbeda dengan memberi alamat src.
#ip proxy access add src-address=192.168.1.0/24 dst-host=www.facebook.com action=deny
Pengguna dari jaringan 192.168.1.0/24 tidak akan dapat mengakses situs web www.facebook.com.
Anda juga dapat mencekal situs web yang berisi kata-kata tertentu di URL:
Pernyataan ini akan memblokir semua situs web yang berisi kata "email" di URL. Seperti www.mail.com, www.hotmail.com, mail.yahoo.com dll.
Kita juga bisa berhenti mendownload jenis file tertentu seperti .flv, .avi, .mp4, .mp3, .exe, .dat, ... etc.
add path=*.flv action=deny
add path=*.avi action=deny
add path=*.mp4 action=deny
add path=*.mp3 action=deny
add path=*.zip action=deny
add path=*.rar action=deny.
Berikut tersedia karakter wildcard yang berbeda, untuk menciptakan kondisi tertentu dan mencocokkannya dengan daftar akses proxy.Properti wildcard (dst-host dan dst-path) cocok dengan string lengkap (yaitu, mereka tidak akan cocok dengan jumlah karakter apapun) dan '?' (cocokkan satu karakter).Ekspresi reguler juga diterima di sini, tapi jika properti itu harus diperlakukan sebagai ekspresi reguler, itu harus dimulai dengan titik dua (':').Untuk menunjukkan bahwa tidak ada simbol yang diizinkan sebelum pola yang diberikan, kita menggunakan simbol pada awal pola.Untuk menentukan bahwa tidak ada simbol yang diizinkan setelah pola yang diberikan, kita menggunakan simbol $ di akhir pola.
Manual: IP / Proxy
![Manual: IP / Proxy]()
Reviewed by chamimdj
on
November 01, 2017
Rating:
No comments: