Printable View
[RIGHT][COLOR=#333333]باسلام[/COLOR]
[COLOR=#333333]دوستان من روی میکروتیکم hotspot فعال کردم و کاربران با اون اعتبارسنجی میشن.حالا که اومدم و web proxy هم راه انداختم و nat اونو نوشتم دیگه صفحه login hotspot نمیاد به نظرتون مشکل از چی هست؟ ممنون میشم راهنمایی بفرمایید[/COLOR][/RIGHT]
up
بنظر من که هات اسپات خودش یک نوع پروکسی هست و وقتی راه اندازی میشه دقیقا در فایروال رول های خودش رو ایجاد میکنه
برای همین نمیشه همزمان هم هات اسپات داشت هم اینکه پروکسی رو بصورت ترنسپرنت مورد استفاده قرار داد.
شما یه پروکسی معمولی بدون ترنسپرنت میتونین در نهایتش داشته باشین.
اگه وب پروکسی رو فقط برای مسدود کردن بعضی از مقصد ها میخواین و یا میخواین بین باز و بسته بودن سرور های خاص مثل تلگرام و یا وب سایت های مشخص بین کاربرها تفاوت قائل بشین ؛ پیشنهاد میکنم از بخش Walled Garden هات اسپات برای مسدود سازی استفاده بفرماید.
پوزش میخوام اعمال فیلترینگ وب سایت با استفاده از بخش فایروال امکان پذیره و Walled Garden تنها برای مجاز شمردن یا نشمردن وب سایت ها و آدرس ها در زمانی که احراز هویت انجام نگرفته است.
[QUOTE=shahani;479162]بنظر من که هات اسپات خودش یک نوع پروکسی هست و وقتی راه اندازی میشه دقیقا در فایروال رول های خودش رو ایجاد میکنه
برای همین نمیشه همزمان هم هات اسپات داشت هم اینکه پروکسی رو بصورت ترنسپرنت مورد استفاده قرار داد.
شما یه پروکسی معمولی بدون ترنسپرنت میتونین در نهایتش داشته باشین.
اگه وب پروکسی رو فقط برای مسدود کردن بعضی از مقصد ها میخواین و یا میخواین بین باز و بسته بودن سرور های خاص مثل تلگرام و یا وب سایت های مشخص بین کاربرها تفاوت قائل بشین ؛ پیشنهاد میکنم از بخش Walled Garden هات اسپات برای مسدود سازی استفاده بفرماید.[/QUOTE]
سلام ممنون از شما بابت توضیحات اما من قبلا روی metal 2 وب پراکسی+هات اسپات را همزمان پیاده سازی کرده بودم و مشکلی هم وجود نداشت اما نمیدونم چرا اینبار با این مشکل برخورد کردم, یه بیس باکس جدید رو قرار هست کانفیگ کنم روی اون تست کنم ببینم میتونم حلش کنم یا خیر
بله خدمتتون عرض کردم
بطور کلی برای اینکه این مشکل برطرف بشه یا شما میبایست در ip > hotspot > user Profiles تیک مربوط به Transparent Proxy را بردارید و یا در صورت عدم تمایل می بایست در ip > firewal > Nat به دنبال [FONT=tahoma]Rule نوشته شده خودتون که Transparent Proxy را برای WebProxy با chain dsnat اعمال میکنه حذف یا غیر فعال بفرماید. در واقع یکی از این دوحالت قابل انتخاب هستند.
اگر مواجه با خطای عجیب دیگه ای هستین پیشنهاد میکنم حتما firmware دستگاهتون رو به آخرین نسخه ارتقا بدین.
به عنوان عملکرد جاگزین Webproxy نیز شما میتونید برای اعمال فیلتر بر روی وب سایت ها به این شیوه عمل کنید :
[CODE][LEFT]/ip firewall layer7-protocol
add name=Weblock regexp="^.+(google.com).*$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=[FONT=tahoma]Weblock[/FONT] src-address=192.168.1.0/24
[/LEFT]
[/CODE]
اینجوری تمام شبکه داخلی شما که دارای نت ای دی 192.168.1.0 هستند اگر در نوار آدرس خود از آدرسی که دارای Google.com باشه استفاده کنند ؛ داده آنها دراپ شده و قابلیت استفاده از این وب سایت رو ندارن . حالا چه mail.google.com باشه چه translate.google.com باشه و یا www.google.com
[/FONT]
[QUOTE=shahani;479227]بله خدمتتون عرض کردم
بطور کلی برای اینکه این مشکل برطرف بشه یا شما میبایست در ip > hotspot > user Profiles تیک مربوط به Transparent Proxy را بردارید و یا در صورت عدم تمایل می بایست در ip > firewal > Nat به دنبال [FONT=tahoma]Rule نوشته شده خودتون که Transparent Proxy را برای WebProxy با chain dsnat اعمال میکنه حذف یا غیر فعال بفرماید. در واقع یکی از این دوحالت قابل انتخاب هستند.
اگر مواجه با خطای عجیب دیگه ای هستین پیشنهاد میکنم حتما firmware دستگاهتون رو به آخرین نسخه ارتقا بدین.
به عنوان عملکرد جاگزین Webproxy نیز شما میتونید برای اعمال فیلتر بر روی وب سایت ها به این شیوه عمل کنید :
[CODE][LEFT]/ip firewall layer7-protocol
add name=Weblock regexp="^.+(google.com).*$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=[FONT=tahoma]Weblock[/FONT] src-address=192.168.1.0/24
[/LEFT]
[/CODE]
اینجوری تمام شبکه داخلی شما که دارای نت ای دی 192.168.1.0 هستند اگر در نوار آدرس خود از آدرسی که دارای Google.com باشه استفاده کنند ؛ داده آنها دراپ شده و قابلیت استفاده از این وب سایت رو ندارن . حالا چه mail.google.com باشه چه translate.google.com باشه و یا [url=http://www.google.com]Google[/url]
[/FONT][/QUOTE]
مرسی پس من دستگاه جدید که دستم رسید روش حتما تست میکنم و نتیجه رو اعلام میکنم تا سایر دوستان هم استفاده ببرن
بازم ممنون بابت راهنماییتون :heart:
خواهش میکنم ، دیگه چیزی بود که بنظرمن میرسد
اونم با مقدار سواد کم و ناقصی که دارم ؛ امیدوارم موفق باشید؛ و پیگیر امتحان شما و دوستان در این مورد هستم.
دو نکته هم در آزمایش هایی که انجام دادم در مورد کار با WebProxy بنظرم اومد که مهم هستن، برای همین اونها رو مطرح میکنم.
اول اینکه در تنظیمات Src.Address وب پروکسی، نمیشه آدرس تنظیم شده روی یک پورت روتر رو داد ؛ یا میبایست تک تک آدرس هایی که میخوایم روشون وب پروکسی اعمال بشه رو وارد کنیم ؛ و یا اینکه از آدرس پیشفرض 0.0.0.0 استفاده کنیم.
دوم اینکه در قسمت Access ؛ تنظیمات مربوط به Dst. host کارایی نداره و درواقع مسدود سازی با آدرس هاست، عملکرد درستی از خودش نشون نمیده و میبایست با آدرس IP مسدود سازی انجام بگیره و در این صورت هم باز بحث بر سر پروتکل Https و کد گذاری SSL باز میمونه.
درنهایت موضوع رو نگاه کنیم Webproxy و یا hotspot ابزارهایی برای ساده کردن کنترل ترافیک عبوری هستن و اونها هم کار نهایی رو روی فایروال انجام میدن و اگه ما بتونیم اهداف خودمون رو روی فایروال بطور مستقیم پیاده سازی کنیم ؛ بطور دقیق تر و با بازدهی بسیاربالاتر خواهد بود و نیازمند این ابزارهای واسط نخواهیم بود.
تمامی روش های مسدود سازی براحتی با استفاده از وب سایت ها و نرم افزار های فندق شکن باز میشن
و به لطف زیاده روی در مسدود سازی دیگه امروز هر شخص انواع مختلف و متنوع زیادی از این برنامه ها رو همراه خودش داره .
در عمل اگه شبکه کوچک نیست و مدیر شبکه توانایی بستن سیستم عامل ها رو نداشته باشه ؛ اعمال این تغییرات فقط باعث کنترل بیشتر روی ترافیک عبوری کاهش سرعت و اشغال منابع روتر میشه و راندمان رو پایین میاره ؛ برای هم خیلی بستگی داره که با چه نوع شبکه ای سر و کار داشته باشیم.
روش دیگه در فایروال برای مسدود سازی وب سایت های پروتکل http با دستور زیر قابل اجراست.
[CODE][LEFT]/ip firewall filter add action=drop chain=forward
content="peyvandha.ir" protocol=tcp dst-port=80
[/LEFT]
[/CODE]
یادآوری :
رول مربوط به ریدایرکت پروکسی باید قبل و بالاتر از رول متصل کردن کاربران به اینترنت قرار بگیره در غیر این صورت
قبل از اینکه پاکت های درخواست به WebProxy ریدایرکت شود به وسیله رول اینترنت به شبکه جهانی ارسال شده و داده ای که رول ابتدایی تر و بالاتر شامل حالش شده باشد دیگر به رول هایی پایین تر برای بررسی ارسال نمی شود.
[IMG]http://img.upload724.com/images/79781471988339106781.jpg[/IMG]
نکته : برای اعمال پروکسی بر چند شبکه میتوان NetID آن شبکه ها را در وب پروکسی بخش Src.Address تنظیم کردم اما از گذاشتن عدد ساب نت ماسک باید خودداری شود.
به عنوان مثال :
[LEFT][CODE]/24[/CODE]
[/LEFT]
همچنین برای اعمال پروکسی بر رنج های خاص میتوان آنها را قبلا در رول NAT فایروال مشخص نمود با این حساب داده های ارسالی به وب پروکسی مسیر مبدا انها از قبل غربال شده و انتخاب گردیده اند.
[QUOTE=shahani;479462]یادآوری :
رول مربوط به ریدایرکت پروکسی باید قبل و بالاتر از رول متصل کردن کاربران به اینترنت قرار بگیره در غیر این صورت
قبل از اینکه پاکت های درخواست به WebProxy ریدایرکت شود به وسیله رول اینترنت به شبکه جهانی ارسال شده و داده ای که رول ابتدایی تر و بالاتر شامل حالش شده باشد دیگر به رول هایی پایین تر برای بررسی ارسال نمی شود.
[IMG]http://img.upload724.com/images/79781471988339106781.jpg[/IMG]
نکته : برای اعمال پروکسی بر چند شبکه میتوان NetID آن شبکه ها را در وب پروکسی بخش Src.Address تنظیم کردم اما از گذاشتن عدد ساب نت ماسک باید خودداری شود.
به عنوان مثال :
[LEFT][CODE]/24[/CODE]
[/LEFT]
همچنین برای اعمال پروکسی بر رنج های خاص میتوان آنها را قبلا در رول NAT فایروال مشخص نمود با این حساب داده های ارسالی به وب پروکسی مسیر مبدا انها از قبل غربال شده و انتخاب گردیده اند.[/QUOTE]
مرسی مهندس به این نکته اصلا توجه نکرده بودم, همین باعث ایجاد این مشکل شده بود. با تغییر اولویت در رول ها مشکل کاملا برطرف گردید
بازم ممنون از شما :heart:
