RouterOS如何開啟web proxy服務及設定 transparent proxy

RouterOS如何開啟內建的proxy服務呢？
首先，如果是軟體式的最好能另外安裝第二個磁碟機，或是硬體式的如RB450G最好加裝microSD
一、這裡我們以CCR1016-12G為例，它有一個usb可以外接隨身碟或隨身硬碟，所以當我們安裝完後，到System->Stores可以看到usb1，但是一開始它只能偵測到，但無法辦識也無法得知容量，所以要選【Format Drive】，大概等個幾分鐘，如果Format成功，應該就會顯示容量及ready字樣。

二、安裝完第二個磁碟機後，到【Stores】按【+】增加一個新的磁碟空間給web-proxy用（原來預設是system，是和OS在同一個磁碟機或ROM），Name可以自訂；Type選web-proxy，即是給web proxy用的；Disk選系統偵測到的usb1（這邊要視不同的機器型號所偵測出來為準），將Active 打勾以便啟用。

三、安裝完第二個磁碟機後，就可以到【IP】->【Web Proxy】照著下圖將要勾選的勾一勾，【Enabled】，Port預設為8080，您也可以自訂；Cache Administrator可以訂上管理者的email，這樣如果使用者的proxy受到規則阻擋時，會在網頁上出現這個email，Max. Cache Size這邊我們這個新的磁碟機都是要給proxy用的，所以設unlimited，但是如果你是和系統同一個磁碟機（即Cache Drive出現system的字樣，而非usb1字樣），最好要限制Max. Cache Size的大小，不然系統的磁碟空間可能會被Cache塞滿，這個要注意。

四、我第一次設定的時候，Cache Drive一直是出現System字樣，而沒注意，以為設定成功，proxy就開始用，直到打開System->Resources，看Free HDD Space一直在減少，才發現設定失敗，這時請到System->Stores選我們設定的proxy-cache，再選一次activate，如果Cache Drive一直沒有轉換成usb1，那就只能重開機，再到System->Stores，再選一次activate，應該可以成功。

五、到IP->DNS 設定DNS Server，這樣routeros才能解析domain name

六、打開IE->網際網路選項->連線->LAN設定，Proxy伺服器打勾，位址填上routeros的IP，連接埠8080

七、上述設定完後，請連線一般的網站看看是否成功，再到IP->web proxy，打開Cache Contents和Access，看是否有cache資料和連線的資料

八、Web Proxy設定成功後，要如何避免Open Proxy呢？二種方法，一種是在IP->Firewall->Filter Rules中拒絕從wan端連進8080埠
/ip firewall filter
add action=drop chain=input comment="Block Open PROXY " disabled=no dst-port=8080 in-interface=wan protocol=tcp  src-address=0.0.0.0/0


另一種方式是到IP->Web Proxy->Access，加入你要接受連線的來源端，最後一筆規則再加上拒絕所有，這樣別人連上後會在網站上出現Access Deny的字樣

九、 transparent proxy的設定只要下一行指令

參考routeros的wiki (http://wiki.mikrotik.com/wiki/How_to_make_transparent_web_proxy)，只要下ip firewall nat add in-interface=ether1 dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat

注意：in-interface是你內部lan端的interface，可能會不一樣。
設定完後，再次觀察IP->web proxy，Cache Contents和Access，看是否有cache資料和連線的資料。

※設定transparent proxy的好處是，LAN端的使用者不需要一一去設定proxy，系統會強制使用者轉用proxy

參考資料：
http://wiki.mikrotik.com/wiki/Manual%3aIP/Proxy#Summary
http://nanobridge-technology.blogspot.tw/2013/08/nano-bridge-how-to-to-accredit-mikrotik.html
http://aacable.wordpress.com/2011/12/29/howto-to-enable-mikrotik-routeros-web-proxy-in-transparent-mode/

O2 防火牆如何設定URL過濾

O2的防火牆具有URL過濾功能，可以自行定義要阻擋的網址，其主要由兩個部分組成，【內容過濾】-【http】和【防火牆】-【內容過濾profile】，當profile設定完後，就可以到【防火牆】-【 ipv4規則】中的過濾條件中的【protection profile】選擇要過濾的profile。
這邊的例子，我們依情況分為一般的設定，及進階的設定

◎一般的URL阻擋方式（全校的URL阻擋均一致）：

一、到【內容過濾】-【http】建立阻擋的黑名單，進入後，到【URL黑名單】，點按右下角的【新增】

二、如果要鎖51seer.com這個網域的所有連結，則輸入*.51seer.com*，類型選wildcard（萬用字元），這邊我們用*，這樣就可以將xxx.51seer.com/xxx/xxx/都封鎖。但這只是設定封鎖條件，還要將【URL黑名單設定】這個條件加入自行定義的profile中

\

三、到【防火牆】-【內容過濾profile】，新增自行定義的profile名字。如果只要全校套用，則profile建一個就可以了，下圖有兩個profile，Blocked_Site這個profile是我們預計要套用到全校，Lab_blocked_site是屬於進階的proflie，這裡先不管。Blocked_Site這個profile名稱可以自定，不一樣要像我這樣命名。


四、點選【Blocked_Site】的圖示，進入設定畫面，阻擋的類型，http阻擋的內容就是我們一開始在【內容過濾】-【http】所設定的，所以點進【HTTP】

五、點進【HTTP】後，將【URL黑名單】打勾，表示我們之前所設定的URL黑名單內的阻擋網址預計要阻擋，為何說預計呢？因為待一會還要到防火牆加入規則，這個阻擋才會生效。

六、我們也可以點選【P2P】，這邊我們預計要將所有P2P的服務阻擋下來，所以全部均勾選。註：只要是全校要阻擋的都可以一併在此選一選勾一勾。

七、到【防火牆】-【IPV4規則】加入一條規則，因為這是要阻擋的，所以放到最前面。



八、規則的【來源】-【來源區域】就是內部的zone或是內部的ip區段，【目的】的目的區域當然就是防火牆外部的zone，這邊我還加了一個【預設】netgroup:blocked_site，這個可不是我們之前定義的profile，這是我另外在【物件】-【IPV4】中設定的IP群組，主要是針對要阻擋的IP，再來【動作】設【拒絕】，【Protection Profile】要選【Blocked_Site】這個我們所設定的Profile。所以這條規則可以同時拒絕內部連線到要阻擋的IP及URL




九、所以只要連到所列的URL就會出現如下的畫面



◎進階的URL阻擋方式（電腦教室的阻擋機制希望較全校設定還嚴格）：

因為本校除了想要設定一組全校教師套用的URL阻擋名單外，也想讓電腦教室再加上更多的URL阻擋清單（例如阻擋遊戲網站、Facebook…），所以這邊我們定義了二個，一個是Block Site（前面所設定的），一個是Lab_block_site。
因為Lab_block_site要套用到電腦教室的阻擋規則，所以之後要到【防火牆】-【IPV4規則】，將Block_Site的profile規則放的比Lab_block_site還要前面，這樣除了Block_Site的URL會被阻擋下來外，Lab_block_site所建的URL（例如facebook.com、photo.pchome.com.tw 、遊戲網站…等）也會被阻擋下來。就不會因為不想讓學生上某些網站，而導致全校均不能上，而能因不同的區域制定不同的阻擋規則。

一、我們點進【內容過濾】-【http】，到自定義URL，這邊可以將我們要阻擋或開放的URL建立不同群組，如Game、Sex、AD…等，這邊我建立了一個【lab_blocked】，這個lab_blocked是針對電腦教室額外再另外加的URL，我們以Facebook當例子。

二、到【自定義URL設定】，URL加入【*facebook.com*】類型選【wildcard】，【啟用】打勾，再按【儲存】

三、到【防火牆】-【內容過濾profile】增加【Lab_blocked_site】這個profile，這邊的名稱可以自定。

四、點選【Lab_blocked_site】的圖示，進入設定畫面，阻擋的類型，選【HTTP】，【自訂URL】的阻擋選項勾選要阻擋的URL群組，這邊的Game,Sex,Advertisment若資料不多，其實URL可以併到lab_blocked內就可以。選好就按【儲存】

五、到【防火牆】-【IPV4規則】加入一條規則，但這條規則要在放到前面所設定規則的後面，如下圖下面的紅色框。

五、到規則的設定畫面，來源區域為內部的zone，來源位址為原本設定在物件的電腦教室網路區段IP，目的區域為外部的Zone，【Protection Profile】選擇【Lab_blocked_site】這個profile

這樣子的設定有個好處是，有些網站想開放讓教師上，但不想開放讓學生上，就可以用此方式設定。

RouterOS的Master Port代表的意義

　　一開始設定RouterOS時，線會在Interface的General內發現一個master port選項，以前設定防火牆時沒有看個這個項目，也不知道這個的意思，查了一下資料http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#switch-all-ports

原來mikrotik的routerboard有很多型號，每個型號的routerboard有搭配不同的晶片組，例如RB450G 的主機板晶片有Atheros8316，支援port switching、port mirror，port switching的功能就是可以讓routerboard的每個port達到像交換器一樣的功能，而不用另外設橋接，因為有晶片的支援，可以降低封包交換時CPU的loading。

　　RB450G預設的ether2-ether5為一個交換群組，ether1可以自訂，指令列 /interface ethernet switch set switch1 switch-all-ports=no中switch-all-ports若設為yes，則可以和其他port合為一個交換群組，若設為no，則是一個獨立的port。

　　如果要有路由器的功能，至少要一個wan，一個lan，那switch-all-ports要設為no，這樣ether1就是wan port ，ether2-ether5就是lan port，只是ether2-ether5可以看成是像交換器那樣，所以這幾個port就可以不用再另外設橋接(brider)，就可以彼此互通。而設成switch 群組後，有一個master port選項，例如ether2設為master port，則如果要設dhcp server配發ip，就需要設在master port上，其他port如ether3-ether5要能要到ip則必須在interface內的general中設mast port為ethter2。

RouterOS如何備份目前設定與回復先前設定

RouterOS的備份與還原功能可分為指令與圖形界面
一、指令：

1. 進入system backup路徑
2. 下指令save name=xxxx ，其中xxxx為備份檔名
3. 備份完後到/file 內下print即可看到xxxx.backup的備份檔
4. 下面的例子是以檔名2013_09_14為備份檔

[admin@MikroTik] > system backup
[admin@MikroTik] /system backup> save name=2013_09_14 
Saving system configuration
Configuration backup saved
[admin@MikroTik] /system backup> /file print
 # NAME            TYPE                                 SIZE CREATION-TIME      
 0 skins           directory                                 jan/01/1970 08:01:00
 1 pub             directory                                 jan/02/1970 08:26:36
 2 MikroTik-020... backup                             21 765 jan/02/1970 08:45:15
 3 20130813-bac... script                             14 632 jan/02/1970 08:37:11
 4 2013_09_14.b... backup                             53 444 sep/15/2013 09:41:45



如果要還原整個系統，則是到system backup下，下達load name=xxxx，其中xxxx為要還原的備份檔
下達還原指令後，會出現Restore and reboot? [y/N]: 字樣，選擇y，則系統會重新啟動並載入還原的備份檔
 [admin@MikroTik] > file print
 # NAME            TYPE                                 SIZE CREATION-TIME     
 0 skins           directory                                 jan/01/1970 08:01:0
 1 pub             directory                                 jan/02/1970 08:26:3
 2 MikroTik-020... backup                             21 765 jan/02/1970 08:45:1
 3 20130813-bac... script                             14 632 jan/02/1970 08:37:1
 4 2013_09_14.b... backup                             53 444 sep/15/2013 09:41:4
 5 MikroTik-150... backup                             69 133 sep/15/2013 09:46:0
[admin@MikroTik] > system backup
[admin@MikroTik] /system backup> load name=MikroTik-15092013-0946.backup
Restore and reboot? [y/N]:

二、圖形模式
到files的圖形視窗界面，點選上方的【backup】系統就會自動以系統時間命名並儲存一個系統備份檔，如本圖所示為Miko Tik-15092013-0946.backup

還原時，則是先選擇還原的備份檔，再點按【Restore】，這時會出現一個確認視窗。

routeros如何顯示graphs流量圖

剛安裝完的RouterOS當我們進到webfig->graphs會發現 Traffic and system resource graphing 的字樣。或是以winbox進入->Tools->Graphing->Interface Graphs，會發現一切空白

這時我們以winbox為例，到Tools->Graphing->Interface Rules，點選+，加入新的Interface Graphing Rule，Interface可以選任一個網路界面，或是選擇all，按OK。

 

就可以到防火牆ip/graphs ，或是winbox->Tools->Graphing->Interface Graphs中選擇要觀察的界面流量圖

Sonicwall log出現examining stream for host header訊息

本校Sonicwall firewall的log有時會出現Http method detected:examining stream for host header的訊息，所以有時會造成一些http連線的異常現象，例如，學務系統的圖書館模組，有個新增圖書功能，只要輸入書籍的ISBN碼，就可以連線到國家圖書館下載圖書資料，可是每次連線時會反應很久，最後出現【找不到此書】的訊息，但是最後查firewall log檔，就會發現以下的訊息。

 

經參考來源文章：http://www.trixbox.org/forums/trixbox-forums/help/warning-cannot-connect-online-repository-mirror-freepbx-org-online-module，終於找到解決的方法。

一、登入sonicwall，將http://xxx.xxx.xxx.xxx/main.html改為http://xxx.xxx.xxx.xxx/diag.html，會出現一些暗藏的細部設定【Internal Settings】

 



二、找到【Enforce Host Tag Search for CFS】選項，將勾選取消，按【Apply】。



三、再重試圖書館模組的ISBN新增圖書方式就沒問題了！