星期五, 3月 07, 2014

RouterOS如何開啟web proxy服務及設定 transparent proxy

RouterOS如何開啟內建的proxy服務呢?
首先,如果是軟體式的最好能另外安裝第二個磁碟機,或是硬體式的如RB450G最好加裝microSD
一、這裡我們以CCR1016-12G為例,它有一個usb可以外接隨身碟或隨身硬碟,所以當我們安裝完後,到System->Stores可以看到usb1,但是一開始它只能偵測到,但無法辦識也無法得知容量,所以要選【Format Drive】,大概等個幾分鐘,如果Format成功,應該就會顯示容量及ready字樣。



二、安裝完第二個磁碟機後,到【Stores】按【+】增加一個新的磁碟空間給web-proxy用(原來預設是system,是和OS在同一個磁碟機或ROM),Name可以自訂;Type選web-proxy,即是給web proxy用的;Disk選系統偵測到的usb1(這邊要視不同的機器型號所偵測出來為準),將Active 打勾以便啟用。




三、安裝完第二個磁碟機後,就可以到【IP】->【Web Proxy】照著下圖將要勾選的勾一勾,【Enabled】,Port預設為8080,您也可以自訂;Cache Administrator可以訂上管理者的email,這樣如果使用者的proxy受到規則阻擋時,會在網頁上出現這個email,Max. Cache Size這邊我們這個新的磁碟機都是要給proxy用的,所以設unlimited,但是如果你是和系統同一個磁碟機(即Cache Drive出現system的字樣,而非usb1字樣),最好要限制Max. Cache Size的大小,不然系統的磁碟空間可能會被Cache塞滿,這個要注意。


四、我第一次設定的時候,Cache Drive一直是出現System字樣,而沒注意,以為設定成功,proxy就開始用,直到打開System->Resources,看Free HDD Space一直在減少,才發現設定失敗,這時請到System->Stores選我們設定的proxy-cache,再選一次activate,如果Cache Drive一直沒有轉換成usb1,那就只能重開機,再到System->Stores,再選一次activate,應該可以成功。






五、到IP->DNS 設定DNS Server,這樣routeros才能解析domain name


六、打開IE->網際網路選項->連線->LAN設定,Proxy伺服器打勾,位址填上routeros的IP,連接埠8080


七、上述設定完後,請連線一般的網站看看是否成功,再到IP->web proxy,打開Cache Contents和Access,看是否有cache資料和連線的資料


八、Web Proxy設定成功後,要如何避免Open Proxy呢?二種方法,一種是在IP->Firewall->Filter Rules中拒絕從wan端連進8080埠
/ip firewall filter
add action=drop chain=input comment="Block Open PROXY " disabled=no dst-port=8080 in-interface=wan protocol=tcp  src-address=0.0.0.0/0


另一種方式是到IP->Web Proxy->Access,加入你要接受連線的來源端,最後一筆規則再加上拒絕所有,這樣別人連上後會在網站上出現Access Deny的字樣





九、 transparent proxy的設定只要下一行指令

參考routeros的wiki (http://wiki.mikrotik.com/wiki/How_to_make_transparent_web_proxy),只要下ip firewall nat add in-interface=ether1 dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat

注意:in-interface是你內部lan端的interface,可能會不一樣。
設定完後,再次觀察IP->web proxy,Cache Contents和Access,看是否有cache資料和連線的資料。

※設定transparent proxy的好處是,LAN端的使用者不需要一一去設定proxy,系統會強制使用者轉用proxy

參考資料:
http://wiki.mikrotik.com/wiki/Manual%3aIP/Proxy#Summary
http://nanobridge-technology.blogspot.tw/2013/08/nano-bridge-how-to-to-accredit-mikrotik.html
http://aacable.wordpress.com/2011/12/29/howto-to-enable-mikrotik-routeros-web-proxy-in-transparent-mode/

沒有留言: