настройка web proxy на mikrotik

настройка web proxy на mikrotik

Web Proxy на MikroTik: как не устроить себе утечку вместо защиты

настройка web proxy на mikrotik — задача, с которой сталкиваются администраторы малого бизнеса, владельцы домашних сетей и даже энтузиасты информационной безопасности. Но за простым названием «web proxy» скрывается не только фильтрация трафика или кэширование страниц. Неправильная реализация может превратить ваш роутер в точку сбора данных о каждом посещённом сайте, открыть доступ злоумышленникам или нарушить работу критически важных сервисов. В этом материале разберём всё: от базовой конфигурации до скрытых рисков, которые игнорируют 99% гайдов.

Почему вы вообще рассматриваете web proxy на MikroTik?

MikroTik RouterOS предлагает встроенный HTTP-прокси. Он умеет:

• Кэшировать часто запрашиваемые веб-страницы (полезно при медленном канале).
• Блокировать сайты по URL или регулярным выражениям.
• Перенаправлять запросы через родительский прокси (например, корпоративный шлюз).
• Логировать все HTTP-запросы (опасно без шифрования!).

Но важно понимать: встроенный прокси MikroTik работает ТОЛЬКО с HTTP. HTTPS-трафик он не расшифровывает и не фильтрует — только прозрачно пропускает. Это значит, что сегодняшние реалии (где 95% сайтов используют HTTPS) делают его полезность крайне ограниченной.

Если ваша цель — реальная безопасность, а не просто блокировка YouTube в офисе, вам нужен не HTTP-прокси, а полноценное решение: TLS-инспекция (MITM с доверенным сертификатом), DPI-фильтрация или внешний VPN. Об этом — дальше.

Как включить web proxy на MikroTik: пошагово без воды

1. Зайдите в WinBox или WebFig → меню IP → Proxy.
2. Поставьте галочку Enabled.
3. Укажите Port (по умолчанию 8080).
4. Опционально: включите Cache Administrator (email админа для отчётов).
5. Настройте Max Cache Size (рекомендуется не более 10% от свободного места на NAND/USB).
6. Важно: отключите Always From Cache — иначе пользователи могут получать устаревший контент.
7. Сохраните.

Теперь прокси запущен, но он ещё не перехватывает трафик. Для этого нужны правила NAT.

Прозрачное перенаправление (transparent proxy)

/ip firewall nat
add chain=dstnat dst-port=80 protocol=tcp action=redirect to-ports=8080

Это правило перенаправляет ВЕСЬ HTTP-трафик (порт 80) на локальный прокси. Пользователи ничего не замечают — браузер работает как обычно.

⚠️ Не добавляйте порт 443! Без TLS-инспекции это сломает HTTPS.

🛠️Инструмент для работы

Чего вам НЕ говорят в других гайдах

Большинство инструкций заканчиваются на «включил прокси — молодец». Но реальные риски начинаются именно после этого.

1. Логи по умолчанию — это ваш след

По умолчанию MikroTik пишет access.log, где фиксируется:
- IP-адрес клиента
- Запрошенный URL
- Размер ответа
- Код ответа (200, 404 и т.д.)

Эти логи хранятся на роутере. Если устройство украдут, взломают или изымут по запросу (например, при расследовании), вся история просмотров будет на руках у третьих лиц. Вы — оператор связи в миниатюре, и по закону РФ (ФЗ‑152 «О персональных данных») обязаны обеспечивать защиту этих сведений. А вы этого не делаете.

Решение: либо отключите логирование (/ip proxy set enable-access-log=no), либо настройте автоматическую очистку (/system script + /file remove).

1. Прокси ≠ анонимность

Web proxy на MikroTik не скрывает ваш IP от внешних сайтов. Он лишь добавляет один hop внутри вашей сети. Сайт всё равно видит публичный IP вашего провайдера (Ростелеком, МТС и др.). Это не Tor и не VPN.

1. Уязвимости в RouterOS

История знает случаи: CVE-2018-14847 (чтение файлов), CVE-2020-15967 (удалённое выполнение кода). Если вы открыли прокси наружу (например, для удалённых сотрудников), вы создали вектор атаки. Никогда не публикуйте порт 8080 в интернет без авторизации и шифрования.

1. Бесплатные «облачные прокси» — ловушка

Некоторые советуют использовать родительский прокси через бесплатные сервисы. Это классический фрод: такие сервисы собирают ваши данные, подменяют рекламу или продают трафик. Реальная стоимость аренды сервера — от $5/мес. Бесплатно работать не могут.

1. DPI легко обходит ваш прокси

Современные мессенджеры (Telegram, Signal) и торрент-клиенты используют шифрование и обфускацию. Простой HTTP-прокси их не остановит. Для блокировки нужен DPI-анализ на уровне пакетов, который в RouterOS реализован слабо.

Когда web proxy на MikroTik действительно полезен?

Не всё так плохо. Есть честные сценарии:

🏢 Офис с ограниченным каналом
Компания в регионе с дорогим интернетом (до 500 руб./Мбит/с). Включён кэш на MikroTik — повторные загрузки обновлений Windows, образов Docker или документации идут из локального хранилища. Экономия до 30% трафика.

👨‍💻 Родительский контроль (без шпионажа)
Родители хотят блокировать сайты для детей. Прокси + список запрещённых доменов (/ip proxy access) — легальное решение. Главное — отключить логи и не сохранять историю.

🔧 Тестовая среда
Разработчик отлаживает веб-приложение и хочет видеть все HTTP-запросы. Временный прокси на тестовом роутере — удобный инструмент.

Альтернативы: когда пора уходить от встроенного прокси

Если вам нужно:
- Анонимность → Tor или коммерческий no-logs VPN.
- Обход блокировок → Shadowsocks или WireGuard на VPS (лучше всего против DPI РКН).
- Глубокая фильтрация → Squid с SSL Bump (TLS-инспекция) + собственный CA-сертификат.
- Простая блокировка → оставайтесь на MikroTik, но отключите логи.

Практический чек-лист безопасности после настройки

1. Отключите access.log:
   /ip proxy set enable-access-log=no

   📖Свобода информации

2. Запретите доступ извне:
   Убедитесь, что порт 8080 не проброшен в интернет. Проверьте /ip firewall filter.

3. Ограничьте доступ по IP:
   routeros /ip proxy access add src-address=192.168.88.0/24 action=allow add action=deny

4. Настройте регулярную очистку кэша:
   Создайте скрипт, который раз в неделю удаляет старые файлы.

   ⚙️Технология доступа

5. Обновите RouterOS:
   Используйте стабильную ветку (stable), проверяйте наличие патчей каждые 3 месяца.

6. Не используйте прокси для HTTPS:
   Без TLS-инспекции это бесполезно и опасно.

FAQ

Можно ли через web proxy на MikroTik обойти блокировку Роскомнадзора?

Нет. Блокировки РКН работают на уровне DNS и DPI. HTTP-прокси не меняет ваш IP и не шифрует трафик, поэтому провайдер (Ростелеком, МТС) продолжит применять ограничения. Для обхода нужны решения, маскирующие трафик под легитимный (например, WireGuard или Shadowsocks).

Замедлит ли прокси интернет?

Да, но только для HTTP. Кэширование может ускорить повторные загрузки, но первый запрос будет медленнее на 10–50 мс из-за дополнительной обработки. Для HTTPS влияния нет — трафик не проходит через прокси.

Безопасно ли оставлять логи включёнными?

Нет. Логи содержат персональные данные (IP + URL), что делает вас ответственным по ФЗ‑152. При утечке возможны штрафы. Лучше отключить логирование или настроить шифрование и строгий доступ к файлам.

Технологии будущего🤖

Чем web proxy отличается от SOCKS или VPN?

Web proxy работает только на прикладном уровне (HTTP). SOCKS — на сессионном (поддерживает любые протоколы, но без шифрования). VPN — на сетевом уровне, шифрует ВЕСЬ трафик и меняет ваш IP. Это три разных слоя модели OSI.

Можно ли настроить прокси только для одного устройства?

Да. В правиле NAT укажите src-address конкретного IP: add chain=dstnat src-address=192.168.88.25 dst-port=80 protocol=tcp action=redirect to-ports=8080

Почему YouTube не блокируется через прокси?

Потому что YouTube использует HTTPS. Встроенный прокси MikroTik не может фильтровать зашифрованный трафик. Для блокировки нужен либо DNS-фильтр, либо TLS-инспекция (что требует установки своего сертификата на все устройства).

Открой мир без границ🌍

Вывод

настройка web proxy на mikrotik — это не волшебная кнопка безопасности, а узкоспециализированный инструмент для управления HTTP-трафиком внутри локальной сети. Он не обеспечивает анонимность, не обходит блокировки и не защищает от слежки провайдера. Его главные функции — кэширование и базовая фильтрация. Если вы используете его без отключения логов, без ограничения доступа и без понимания границ возможностей, вы рискуете превратить свой роутер в источник утечки данных. Перед включением спросите себя: «Зачем мне именно HTTP-прокси?». Часто правильный ответ — «мне нужен не прокси, а полноценный VPN или DPI-фильтр».