MikroTik - чистый носок дома (SOCKS-5)

MikroTik — латвийский производитель сетевого оборудования. Статья не ПОДРАЗУМЕВАЕТ скрытую рекламу бренда, а отражает факт возможности использования ОБОРУДОВАНИЯ по алгоритму, цена-качество.

Компания MikroTik разрабатывает и продает проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение — операционные системы и вспомогательное ПО. Одним из продуктов MikroTik является RouterOS — сетевая операционная система на базе Linux. RouterOS предназначена для установки на маршрутизаторы MikroTik RouterBoard. Также данная система может быть установлена на ПК, превращая его в маршрутизатор с функциями брандмауэра, VPN-сервера/клиента, QoS, точки доступа и другими.

SOCKS (сокращение от «SOCKet Secure») — сетевой протокол сеансового уровня модели OSI, который позволяет пересылать пакеты от клиента к серверу через прокси-сервер прозрачно (незаметно для них) и таким образом использовать сервисы за межсетевыми экранами (фаерволами). Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, вместо этого могут быть соединены с SOCKS-прокси-сервером. Такой прокси-сервер управляет правами клиента на доступ к внешним ресурсам и передаёт клиентский запрос внешнему серверу. SOCKS может использоваться и противоположным способом, осуществляя управление правами внешних клиентов соединяться с внутренними серверами, находящимися за межсетевым экраном (брандмауэром). 

В отличие от HTTP-прокси-серверов, SOCKS передаёт все данные от клиента, ничего не добавляя от себя, то есть с точки зрения конечного сервера, данные, полученные им от SOCKS-прокси, идентичны данным, которые клиент передал бы напрямую, без проксирования. SOCKS более универсален, он не зависит от конкретных протоколов уровня приложений (7-го уровня модели OSI) и оперирует на уровне TCP-соединений (4‑й уровень модели OSI). Зато HTTP-прокси кэширует данные и может более тщательно фильтровать содержимое передаваемых данных. 

Давайте сразу определимся, автор не является фанатичным пользователем продукции MikroTik, нет умысла скрытой рекламы (по факту очень удобен RouterOS). На самом деле вам намекают что, на рынке существуют более практичные модели роутеров и производителей. Поэтому общий формат матрицы рынка, нужен только для людей, "включил и забыл". Если вам безразличны общие проблемы рекламы и трекеров отслеживания, разного сетевого мусора, в очередной раз оплатите CDN провайдеру "воздух" и продолжайте читать новости в социальных сетях. Если вы прошили свой роутер OpenWRT прошивкой и используете там SOCKS, это еще лучше...

Изначально обратите внимание, в домашнем применении или малом офисе, вам нужно локальное устройство для фильтрации трафика. Не важно, роутер или отдельный ПК шлюз (вам нужно общие центрально устройство для работы). Подразумевается что вы используете дополнительные VDS хостинги и прочие точки выхода (Tor, Proxy, VPN и тд). Основной умысел исключить CDN посредников, вроде плагинов блокировки рекламы, встроенных блокировщиков рекламы в браузерах, антивирусных программ и тд. Главный смысл в полном, личном контроле за вашим устройством и соединениями в сети. Немаловажный фактор, защита локального трафика, на данный этап защиты пользователи уделяют мало внимания, думая что нужно прятаться от людей из вне, а на самом деле враг внутри :-)

С точки зрения инерции времени бытия в сети интернет, жизнь и практический смысл использования CDN посредников, уходит в бездну. Вы должны понимать, что обычный плагин для браузера по блокировки рекламы, это лишь очередной инструмент для развития и "кормежки" других людей, очень редко сейчас можно встретить инструменты, которые искренне создаются для вашей защиты или блага. Конечно, исключая GNU софт (смеюсь).

Обратитесь и ознакомьтесь с документацией MikroTik по использованию SOCKS. На данный момент в MikroTik, SOCKS "обрезан", или сам роутер обрезан по модели :-) Но, не переживайте, встроенной реализации вам достаточно для выхода на ваш второй шлюз или блокировки мусора. Почему не встроенный в MikroTik WebProxy? Нет шифрования, вы не заблокируете HTTPS соединения, нагрузка и затраты ресурсов больше, вы не обойдете firewall запреты (CDN) провайдера, наделаете локальных петель (благо есть в роутере есть запрет на локальные петли). Конечно вам не что не мешает, организовать перенаправление ввода-вывода трафика и схему с WebProxy...

Общая настройка SOCKS на роутере не представляет сложности, вы можете использовать разные оболочки для настройки:

# ip socks set enabled=yes version=5 port=3379 auth-method=password

Здесь мы с вами включаем сам протокол SOCKS, обязательно устанавливаем версию 5, указываем порт соединения, и метод входа, по паролю. Обратите ваше внимание, используйте порты не стандартного диапазона, что бы исключить спам ботнетов (не используйте популярные порты, например 8080). Вход по паролю крайне желателен, для избежания несанкционированных подключений.

Пример добавления пользователя и пароля:

# ip socks users add name=peshera_01 password=fiX!spaM#yaru.1

Создаем правило-исключение в firewall роутера (для избежания самоблокирования трафика):

# ip firewall filter add chain=input protocol=tcp dst-port=3379 action=accept comment="SOCKS-5 TCP"

Помните о перемещении правил и их структуры в самом firewall, правило drop, установить выше или ниже в таблице.

Проверяем и настраиваем соединения в браузере или ОС системы. Разные приложения имеют свои настройки Proxy, или их нет вообще. По умолчанию...

# IP Шлюз: 192.168.88.1 / Port:3379 (тут лично ваши настройки).

Посмотрим и по форсируем соединения c SOCKS:

# ip socks connections> print

Далее нас интересует субменю:

# /ip socks access 
  • action (allow | deny; default: allow) - action to be performed for this rule.
  • allow - allow packets, matching this rule, to be forwarded for further processing.
  • deny - deny access for packets, matching this rule.
  • dst-address (IP address/netmask) - destination (server's) address.
  • dst-port (port) - destination TCP port.
  • src-address (IP address/netmask) - source (client's) address for a packet.
  • src-port (port) - source TCP port.

Тут мы с вами и будем создавать правила для блокировки или перенаправления трафика. Для самых душевных домохозяек, которые не знают где искать например списки блокировок рекламы и трекеров, воспользуйтесь выводом плагина блокировки рекламы в самом браузере. Например у вас установлен плагин uBlcok Orgin, на который ругается сайт на котором вы смотрите сериалы :-) В чем он действительно может вам помочь, это в быстром парсинге (выводе списка соединений). 

Зайдите на часто посещаемый сайт, откройте список блокировок плагина (тупо кликните по значку), что мы видим, например в списке домен...

mc.yandex.ru

Открываем субменю Socks - Access-Add New:

  • Src. Address        
  • Src Port        
  • Dst. Address        
  • Dst. Port        
  • Action        
  • accept
  • Comment

Добавляем правило фильтра блокировки...

Dst. Address - mc.yandex.ru

Dst. Port - 80

Action - deny

Comment - fckyandex

Дополнительно, LAN адреса в сети, например ПК секретаря или жены указываем в поле Src. Address (не обязательно). Или перенаправляем на страницу через скрипты, или на свой второй секретный шлюз (который перенаправит на любимый торрент хостинг), а может ваш друг в США предоставил вам свой MikroTik роутер и у вас нет статического IP? Тогда прочтите о IP/Cloud.

И конечно, о CDN и Интернет-провайдерском мусоре в трафике. Настоятельно рекомендую запустить трассировку вашего трафика до любого конечного хоста.

# mtr -4b google.com (у вас не Unix подобная система?)

Например лично у автора проскакивает трафик от Ростелекома в Крыму :-) Волшебство и только, ой и отклик до конечных сайтов возрос, задумайтесь над этим нюансами. Только не заблокируйте себе доступ в интернет...

В любом случаи всегда проверяйте настройки SOCKS на MikroTik (скрипты и запуск скриптов), возможно вы его не включали, а уже в ботнете. Внимательно подходите к настройкам SOCKS, пароль (вход по паролю только от единичного пользователя), время жизни соединений (Connection Idle Timeout). Не захламляйте списки в 500+ правил, и не "вешайте" на SOCKS 100+ ПК для соединения. И задумайтесь о покупке Raspberry Pi (смысла больше), по цене даже ниже роутера...


SOCKS-серверы обычно используют порт 1080.

 

Последние материалы