العودة إلى المدونة
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

إعداد البروكسي على جهاز التوجيه MikroTik: حماية الشبكة المؤسسية وتصنيف حركة المرور خطوة بخطوة

دليل مفصل لإعداد خادم بروكسي على MikroTik لحماية الشبكة المؤسسية، وتصنيف حركة المرور، ومراقبة وصول الموظفين.

📅٧ شوال ١٤٤٧ هـ
```html

إذا كان لديك جهاز توجيه MikroTik واحد على الأقل في شركتك - لديك بالفعل أداة مدمجة للتحكم في حركة المرور، وحظر المواقع غير المرغوب فيها، وحماية الشبكة المؤسسية. معظم مديري النظام لا يستخدمون حتى نصف إمكانياته. في هذا الدليل، سنستعرض كيفية إعداد البروكسي مباشرة على MikroTik - دون خوادم إضافية أو تكاليف زائدة.

ما هو Web Proxy في MikroTik ولماذا يحتاجه الأعمال

MikroTik RouterOS هو نظام تشغيل كامل لمعدات الشبكة، والذي يتضمن خادم بروكسي HTTP/HTTPS مدمج. يُطلق عليه Web Proxy وهو متاح بدءًا من التراخيص الأساسية. في الأساس، هو نقطة وسيطة بين مستخدمي شبكتك والإنترنت: تمر جميع حركة المرور عبره، وتحصل على تحكم كامل فيما يحدث في الشبكة.

ما الفرق بينه وبين جدار الحماية العادي؟ يعمل جدار الحماية على مستوى عناوين IP والمنافذ - فهو لا "يفهم" محتوى الطلبات. يعمل البروكسي على مستوى التطبيقات: يرى عناوين URL المحددة، والنطاقات، وأنواع المحتوى. وهذا يوفر مستوى مختلف تمامًا من التحكم.

يمكن للبروكسي المدمج في MikroTik:

  • تخزين المحتوى على الويب - مما يقلل من الحمل على قناة الإنترنت بنسبة 30-40% في المكاتب التي تستخدم التصفح النشط
  • حظر الوصول إلى مواقع معينة، نطاقات، أنماط URL
  • تحديد الوصول حسب عناوين IP للمستخدمين أو الشبكات الفرعية
  • تسجيل جميع طلبات HTTP - من، إلى أين، ومتى تم الدخول
  • العمل في وضع شفاف - لا يلاحظ المستخدمون وجوده
  • إعادة توجيه حركة المرور إلى خادم بروكسي خارجي (parent proxy)

من المهم أن نفهم القيد: يعمل Web Proxy المدمج في MikroTik فقط مع حركة مرور HTTP في الوضع الأصلي. يمكنه اعتراض حركة مرور HTTPS فقط في الوضع الشفاف مع قيود معينة، أو من خلال إعداد parent proxy. تحتاج إلى حلول إضافية لفحص HTTPS بشكل كامل - سنتحدث عن ذلك في القسم الخاص بالبروكسي الخارجي.

💡 من الجيد أن تعرف

يعمل Web Proxy في MikroTik على إصدار RouterOS 2.9 وما فوق. يمكنك التحقق من إصدار البرنامج الثابت في قائمة System → RouterBoard أو باستخدام الأمر :put [/system routerboard get current-firmware] في الطرفية.

سيناريوهات الاستخدام: من يحتاج إلى هذا الإعداد ولماذا

قبل الانتقال إلى التفاصيل الفنية، دعنا نستعرض بعض المهام التجارية المحددة التي يحلها البروكسي على MikroTik. سيساعدك ذلك على فهم الإعدادات التي تحتاجها بالضبط.

مكتب به موظفين مستأجرين

السيناريو الأكثر شيوعًا. المهام: حظر الشبكات الاجتماعية خلال ساعات العمل، منع تنزيل التورنت، تقييد الوصول إلى خدمات البث التي "تستهلك" النطاق الترددي. يقوم البروكسي الشفاف على MikroTik بحل كل ذلك دون الحاجة إلى تثبيت عملاء على أجهزة الكمبيوتر الخاصة بالموظفين. حتى أن الموظفين لا يعرفون أن حركة مرورهم يتم تصفيتها - كل شيء يعمل تلقائيًا.

المقاهي، مساحات العمل المشتركة، الفنادق

هنا يحتاج البروكسي إلى شيئين: التخزين المؤقت (يتم تحميل المحتوى الشائع بشكل أسرع ولا يستهلك حركة المرور مرة أخرى) والتصفية الأساسية للمحتوى غير القانوني. التخزين المؤقت مهم بشكل خاص عند وجود قناة إنترنت محدودة أو مكلفة.

وكالات التسويق والفرق الرقمية

سيناريو محدد: الفرق التي تعمل مع العديد من حسابات الإعلانات على Facebook Ads وTikTok Ads وInstagram، غالبًا ما تستخدم MikroTik المؤسسي كبوابة لتوجيه حركة المرور عبر بروكسي خارجي. تستخدم محطات العمل المختلفة أو الموظفون عناوين IP مختلفة للوصول إلى الإنترنت - وهذا أمر حاسم للعمل مع عدة حسابات على نفس المنصة.

مزودو الخدمة ومزودو الإنترنت

يستخدم مزودو الخدمة الصغيرة بروكسي MikroTik للتخزين المؤقت لتقليل الحمل على قناة الإنترنت الرئيسية. مع وجود عدد كبير من المشتركين الذين يشاهدون نفس الأخبار أو YouTube، يوفر التخزين المؤقت توفيرًا ملحوظًا في حركة المرور.

السيناريو المهمة الرئيسية الوظائف المطلوبة
مكتب التحكم في الوصول تصفية URL، سجلات
مقهى / مساحة عمل مشتركة توفير حركة المرور تخزين مؤقت، تصفية أساسية
وكالة رقمية عناوين IP مختلفة للحسابات Parent proxy، توجيه
مزود الخدمة تقليل الحمل على القناة تخزين مؤقت، إحصائيات

ما تحتاجه قبل البدء في الإعداد

قبل أن تبدأ في التكوين، تأكد من أن لديك كل ما تحتاجه. يعد تخطي هذه الخطوة سببًا لـ 80% من المشاكل أثناء الإعداد.

الوصول إلى جهاز التوجيه: ستحتاج إلى الوصول إلى واجهة الويب MikroTik (Winbox أو WebFig) مع حقوق المسؤول. Winbox هو الخيار المفضل، حيث يمنحك وصولًا كاملاً إلى جميع الإعدادات. يمكنك تنزيله مجانًا من الموقع الرسمي لـ MikroTik.

إصدار RouterOS: من المستحسن أن يكون لديك RouterOS 6.x أو 7.x لتشغيل Web Proxy بشكل مستقر. تحقق من الإصدار عبر System → Packages. إذا كان الإصدار قديمًا - قم بتحديثه عبر System → Packages → Check for Updates.

مساحة خالية على القرص: يتم تخزين التخزين المؤقت للبروكسي على قرص جهاز التوجيه. تحتاج إلى 50-100 ميغابايت على الأقل من المساحة الخالية للتخزين المؤقت. تحقق من ذلك عبر Files في Winbox. على أجهزة التوجيه ذات الذاكرة الفلاش الصغيرة (8 ميغابايت أو أقل)، من الأفضل تعطيل التخزين المؤقت.

مخطط الشبكة: اكتب أو ارسم الشبكات الفرعية لديك، أي واجهة تتصل بالإنترنت (WAN)، وأي واجهة تتصل بالشبكة الداخلية (LAN). بدون هذا الفهم، لن تتمكن من إعداد قواعد NAT للبروكسي الشفاف.

⚠️ مهم: قم بعمل نسخة احتياطية من التكوين!

قبل أي تغييرات، قم بإنشاء نسخة احتياطية: Files → Backup أو عبر الطرفية باستخدام الأمر /system backup save name=backup-before-proxy. ستحميك هذه الخطوة من فقدان الوصول إلى جهاز التوجيه في حالة حدوث خطأ في قواعد جدار الحماية.

الخطوة 1: تفعيل Web Proxy على MikroTik

تفعيل Web Proxy هو أبسط خطوة. يتم كل ذلك عبر واجهة Winbox الرسومية في بضع دقائق.

عبر Winbox (موصى به):

  1. افتح Winbox واتصل بجهاز التوجيه
  2. في القائمة اليسرى، اختر IP → Web Proxy
  3. في النافذة المفتوحة، ضع علامة على Enabled
  4. حدد المنفذ - بشكل افتراضي 8080، يمكنك تركه أو تغييره
  5. في حقل Max Cache Size، حدد حجم التخزين المؤقت (على سبيل المثال، 100 ميغابايت) أو اختر unlimited إذا كانت المساحة تسمح بذلك
  6. اضغط على Apply، ثم OK

عبر الطرفية (لمن يفضلون سطر الأوامر):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB

بعد التفعيل، تحقق من أن البروكسي قد بدأ. في الطرفية، نفذ: 

/ip proxy print

يجب أن يكون في الإخراج enabled: yes. إذا رأيت enabled: no - فهذا يعني أن هناك شيئًا ما قد حدث خطأ، كرر الخطوات.

في هذه المرحلة، تم تفعيل البروكسي، لكنه لا يزال لا يعترض حركة المرور تلقائيًا. يجب على المستخدمين إدخال عنوانه يدويًا في إعدادات المتصفح (IP جهاز التوجيه، المنفذ 8080). لجعل ذلك تلقائيًا لجميع الشبكة - تحتاج إلى الوضع الشفاف، الذي سنستعرضه في الخطوة التالية.

أيضًا، انتبه إلى معلمة Cache Path - حيث تحدد مكان حفظ التخزين المؤقت. بشكل افتراضي، تكون هذه الذاكرة المدمجة لجهاز التوجيه. إذا كان لديك ذاكرة USB أو بطاقة ذاكرة، من الأفضل نقل التخزين المؤقت إلى هناك - مما يزيد من الحجم ويقلل من تآكل الذاكرة المدمجة.

الخطوة 2: إعداد البروكسي الشفاف عبر جدار الحماية NAT

البروكسي الشفاف هو الوضع الذي يتم فيه إعادة توجيه جميع حركة مرور HTTP من الشبكة المحلية تلقائيًا عبر خادم البروكسي. لا يحتاج المستخدمون إلى إعداد أي شيء في المتصفحات. من وجهة نظر الموظف، كل شيء يعمل كالمعتاد، ولكن في الواقع، كل طلب يمر عبر البروكسي.

يتم تنفيذ ذلك من خلال قاعدة NAT في جدار الحماية MikroTik. تعترض القاعدة جميع حركة مرور TCP الصادرة على المنفذ 80 (HTTP) وتعيد توجيهها إلى منفذ البروكسي (8080).

عبر Winbox:

  1. انتقل إلى IP → Firewall → NAT
  2. اضغط على زر + (لإضافة قاعدة)
  3. في علامة التبويب General، قم بتعيين:
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 80
    • In. Interface: واجهة LAN الخاصة بك (مثل ether2 أو bridge-local)
  4. في علامة التبويب Action، قم بتعيين:
    • Action: redirect
    • To Ports: 8080
  5. اضغط على OK

عبر الطرفية:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080

استبدل ether2 باسم واجهة LAN الخاصة بك. إذا كانت لديك عدة واجهات LAN مجمعة في bridge، حدد اسم واجهة bridge.

📌 ترتيب القواعد مهم!

تقوم MikroTik بتطبيق قواعد NAT بالترتيب من الأعلى إلى الأسفل. تأكد من أن قاعدة البروكسي الشفاف تأتي قبل قاعدة masquerade (إذا كانت موجودة). يمكنك تغيير الترتيب عن طريق السحب والإفلات في Winbox أو باستخدام الأمر /ip firewall nat move [find] destination=0.

بعد إضافة القاعدة، تحقق من العمل: افتح أي موقع HTTP من جهاز الكمبيوتر في الشبكة المحلية. إذا كان البروكسي يعمل بشكل صحيح - ستفتح الصفحة، وستظهر سجل في سجلات البروكسي (IP → Web Proxy → Access). إذا لم تفتح الصفحة - تحقق من اسم الواجهة ومنفذ البروكسي.

الخطوة 3: قواعد التصفية - حظر المواقع والفئات

هذا هو القسم الرئيسي لمن يرغب في التحكم في وصول الموظفين إلى الإنترنت. يسمح Web Proxy في MikroTik بإنشاء قواعد مرنة: حظر نطاقات معينة، أنماط URL، أو العكس - السماح فقط لموارد معينة.

يتم إعداد قواعد الوصول في IP → Web Proxy → Access. تحتوي كل قاعدة على شروط (ما يجب التحقق منه) وإجراء (ماذا تفعل: allow أو deny).

حظر نطاق معين (على سبيل المثال، vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Block VK"
add dst-host=*.vk.com action=deny comment="Block VK subdomains"

حظر حسب نمط URL (على سبيل المثال، جميع صفحات YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Block YouTube"
add dst-host=youtube.com action=deny comment="Block YouTube main"

السماح بالوصول فقط لشبكة فرعية معينة (على سبيل المثال، فقط قسم تكنولوجيا المعلومات يمكنه الدخول إلى GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny

حظر حسب امتداد الملفات (منع تنزيل .exe، .torrent):

/ip proxy access
add path=*.exe action=deny comment="Block EXE downloads"
add path=*.torrent action=deny comment="Block Torrent files"
add path=*.zip action=deny comment="Block ZIP downloads"

انتبه إلى ترتيب القواعد: تتحقق MikroTik منها من الأعلى إلى الأسفل وتتوقف عند أول تطابق. يجب أن تكون القواعد allow لعناوين IP معينة أعلى من قواعد deny لنفس النطاقات.

عبر Winbox، تتم إضافة القواعد في IP → Web Proxy → علامة Access → زر +. واجهة المستخدم بديهية: اختر الشرط (عنوان المصدر، نطاق الوجهة، المسار، الطريقة) والإجراء (السماح/الرفض).

⚠️ قيد: لا يتم تصفية HTTPS مباشرة

تعمل قواعد Web Proxy فقط مع حركة مرور HTTP. لحظر مواقع HTTPS (التي تشكل الآن الغالبية العظمى) استخدم أيضًا القواعد في IP → Firewall → Layer 7 Protocols أو حظر حسب عناوين IP عبر جدار الحماية العادي. تتطلب التصفية الكاملة لـ HTTPS حلًا منفصلًا - مثل بروكسي خارجي مع فحص SSL.

الخطوة 4: تخزين حركة المرور لتوفير النطاق الترددي

يعد التخزين المؤقت أحد الأسباب الرئيسية التي تجعل الناس يقومون بتفعيل البروكسي على MikroTik في المكاتب الصغيرة والمؤسسات التعليمية. المبدأ بسيط: إذا كان 20 موظفًا يفتحون نفس صفحة الأخبار، بدون التخزين المؤقت، يقوم جهاز التوجيه بتنزيلها 20 مرة. مع التخزين المؤقت - مرة واحدة، بينما يحصل الـ 19 الآخرين على البيانات من الذاكرة المحلية لجهاز التوجيه على الفور.

توجد إعدادات التخزين المؤقت في IP → Web Proxy. المعلمات الرئيسية هي:

المعلمة الوصف التوصية
max-cache-size أقصى حجم للتخزين المؤقت 50-500 ميغابايت حسب الذاكرة
max-cache-object-size أقصى حجم لكائن واحد في التخزين المؤقت 2048-4096 كيلوبايت
cache-path المسار لتخزين التخزين المؤقت ذاكرة USB عند توفرها
max-fresh-time مدة تخزين الكائن في التخزين المؤقت 3 أيام (259200 ثانية)

الإعداد عبر الطرفية:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d

للتحقق من فعالية التخزين المؤقت، استخدم الأمر: 

/ip proxy monitor

انتبه إلى مؤشرات hits و misses. تعتبر النتيجة الجيدة عندما تشكل hits 20-40% من إجمالي عدد الطلبات. إذا كانت hits قريبة من الصفر - إما أن معظم حركة المرور HTTPS (التي لا يتم تخزينها مؤقتًا)، أو أن التخزين المؤقت صغير جدًا.

نقطة مهمة: تستخدم المواقع الحديثة بشكل متزايد رؤوس Cache-Control: no-store أو no-cache، التي تحظر التخزين المؤقت. لذلك، في الممارسة العملية، تكون فعالية التخزين المؤقت في عام 2024 أقل مما كانت عليه قبل 5-10 سنوات. ومع ذلك، لا يزال التخزين المؤقت يعمل بشكل جيد للموارد الثابتة (الصور، CSS، ملفات JS).

الخطوة 5: الاتصال بخادم بروكسي خارجي عبر MikroTik

هذا هو السيناريو الأكثر إثارة للاهتمام لأولئك الذين يرغبون في عدم مجرد تصفية حركة المرور، بل التحكم الكامل في عنوان IP الذي تخرج منه الشبكة المؤسسية أو الأجهزة الفردية إلى الإنترنت. يدعم MikroTik وظيفة Parent Proxy - حيث يتم تمرير جميع الطلبات من البروكسي المحلي إلى خادم البروكسي الخارجي الأعلى.

لماذا تحتاج إلى ذلك في الممارسة العملية:

  • تغيير IP لجميع الشبكة - تخرج جميع حركة مرور المكتب عبر IP البروكسي الخارجي، وليس عبر IP مزود الخدمة الحقيقي الخاص بك
  • تجاوز القيود الإقليمية - الوصول إلى الموارد المحظورة في منطقتك
  • عناوين IP مختلفة لأجهزة مختلفة - عبر التوجيه، تستخدم محطات العمل المختلفة بروكسيات خارجية مختلفة
  • حماية IP الحقيقي للشركة - ترى الخدمات الخارجية IP البروكسي، وليس عنوانك المؤسسي

إعداد Parent Proxy عبر Winbox:

  1. انتقل إلى IP → Web Proxy
  2. ابحث عن قسم Parent Proxy
  3. أدخل Parent Proxy Address - عنوان IP لخادم البروكسي الخارجي
  4. حدد Parent Proxy Port - منفذ البروكسي (عادةً 8080، 3128 أو آخر)
  5. اضغط على Apply

عبر الطرفية:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080

استبدل 203.0.113.10 و 8080 بالبيانات الحقيقية لخادم البروكسي الخاص بك.

لمهام الشركات، حيث تكون الاستقرار والخصوصية مهمة، يتم استخدام بروكسيات سكنية كـ parent proxy - حيث تحتوي على عناوين IP لمستخدمين حقيقيين، مما يجعل حركة المرور غير قابلة للتمييز عن حركة المرور العادية. هذا مهم بشكل خاص عند العمل مع المنصات التي تحلل السلوك ونوع الاتصال.

إذا كانت فريقك بحاجة إلى محاكاة حركة مرور الهواتف المحمولة - على سبيل المثال، لاختبار الحملات الإعلانية في Facebook Ads أو Instagram من الأجهزة المحمولة - فإن البروكسيات المحمولة مناسبة كـ parent proxy. تعمل هذه البروكسيات عبر بطاقات SIM حقيقية من مزودي الخدمة وتوفر عناوين IP لشبكات الهواتف المحمولة 3G/4G/5G.

📌 مهم: يعمل Parent Proxy فقط مع HTTP

ينقل Web Proxy المدمج في MikroTik عبر parent proxy حركة مرور HTTP فقط، التي تمر عبر البروكسي. لتوجيه كل حركة المرور (بما في ذلك HTTPS) عبر بروكسي خارجي، تحتاج إلى استخدام نهج آخر - إعداد توجيه قائم على السياسة أو بروكسي SOCKS مع قواعد iptables على خادم Linux منفصل في الشبكة.

مراقبة وتسجيل الطلبات

واحدة من أهم الحجج لصالح البروكسي في البيئة المؤسسية هي القدرة على رؤية ما يفعله المستخدمون على الإنترنت. يمكن لـ MikroTik Web Proxy تسجيل جميع طلبات HTTP: من (عنوان IP)، إلى أين (URL)، متى، أي طريقة طلب وحالة الاستجابة.

تفعيل التسجيل:

/ip proxy
set log-connect=yes

بعد التفعيل، ستظهر السجلات في Log (القائمة في Winbox). لعرضها بشكل مريح، قم بتصفية حسب الموضوع web-proxy.

للتخزين طويل الأجل للسجلات وتحليلها بشكل مريح، قم بإعداد الإرسال إلى خادم Syslog خارجي: 

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy

استبدل 192.168.1.100 بعنوان IP الخاص بخادم syslog الخاص بك. يمكنك استخدام Graylog أو Splunk أو rsyslog بسيط على Linux كخادم syslog.

أيضًا، هناك أمر مفيد لمشاهدة إحصائيات البروكسي في الوقت الحقيقي: 

/ip proxy monitor

هنا سترى: عدد الاتصالات النشطة، العدد الإجمالي للطلبات، عدد hits في التخزين المؤقت، وحجم البيانات المنقولة. تساعد هذه البيانات في تقييم الحمل على جهاز التوجيه وفعالية التخزين المؤقت.

ملاحظة مهمة حول GDPR وقوانين العمل: إذا كنت تقوم بتسجيل حركة مرور الموظفين، تأكد من أن ذلك منصوص عليه في عقد العمل أو سياسة الأمان المؤسسية. في بعض البلدان، يعتبر مراقبة نشاط الإنترنت للموظفين دون إعلامهم انتهاكًا للقانون.

الأخطاء الشائعة وكيفية إصلاحها

جمعنا أكثر المشاكل شيوعًا التي تواجهها عند إعداد Web Proxy على MikroTik وطرق حلها.

الخطأ 1: توقف الإنترنت عن العمل بعد إعداد البروكسي الشفاف

السبب: تم تحديد واجهة LAN بشكل غير صحيح في قاعدة NAT، أو أن القاعدة ليست في الموضع الصحيح.

الحل: تحقق من اسم الواجهة باستخدام الأمر /interface print. تأكد من أنك تشير إلى الواجهة التي يتصل بها المستخدمون. إذا كنت تستخدم bridge - حدد bridge، وليس المنفذ الفيزيائي.

الخطأ 2: لا يتم حظر مواقع HTTPS بواسطة قواعد Web Proxy

السبب: لا يعترض Web Proxy في MikroTik حركة مرور HTTPS. تعمل القواعد في IP → Web Proxy → Access فقط مع HTTP.

الحل: لاستخدام حظر مواقع HTTPS، استخدم Layer 7 Protocols أو قوائم العناوين في جدار الحماية. على سبيل المثال، أضف عناوين IP للموقع المطلوب إلى القائمة وقم بحظره عبر IP → Firewall → Filter Rules.

الخطأ 3: يعمل البروكسي، لكن التخزين المؤقت لا يمتلئ

السبب: تستخدم معظم المواقع الحديثة HTTPS ورؤوسًا تحظر التخزين المؤقت. يعمل التخزين المؤقت فقط مع HTTP.

الحل: هذا سلوك طبيعي للويب الحديث. سيتم ملء التخزين المؤقت بالموارد الثابتة (صور، ملفات) من مواقع HTTP. إذا كان التخزين المؤقت حاسمًا - فكر في حلول متخصصة مثل Squid على خادم منفصل مع SSL-bump.

الخطأ 4: أصبح جهاز التوجيه يعمل ببطء بعد تفعيل البروكسي

السبب: لا يستطيع معالج جهاز التوجيه الضعيف التعامل مع الحمل الناتج عن البروكسي مع عدد كبير من المستخدمين.

الحل: تحقق من تحميل CPU باستخدام الأمر /system resource print. إذا كان CPU دائمًا أعلى من 80% - قلل من حجم التخزين المؤقت أو انقل البروكسي إلى خادم منفصل (Squid على Ubuntu/Debian). في هذه الحالة، يتم استخدام MikroTik كبوابة فقط، توجه حركة المرور إلى البروكسي الخارجي.

الخطأ 5: لا يعمل Parent Proxy - تفتح المواقع عبر IP الحقيقي

السبب: يتم تطبيق Parent Proxy في MikroTik فقط على حركة المرور التي تمر فعليًا عبر Web Proxy. تذهب طلبات HTTPS وحركة المرور التي لم تعترضها قاعدة NAT مباشرة.

الحل: تأكد من أن قاعدة البروكسي الشفاف (إعادة التوجيه إلى المنفذ 8080) نشطة وتقع في الموضع الصحيح. لتوجيه كل حركة المرور عبر البروكسي الخارجي، ستحتاج إلى إعداد أكثر تعقيدًا باستخدام توجيه قائم على السياسة.

المشكلة تشخيص سريع الحل
لا يوجد إنترنت /interface print تحقق من اسم واجهة LAN
HTTPS لا يتم حظره تحقق من بروتوكول الموقع استخدم Layer 7 أو حظر IP
جهاز التوجيه بطيء /system resource print قلل من التخزين المؤقت أو انقل البروكسي
لا يعمل بروكسي الوالد تحقق من قاعدة NAT redirect تأكد من أن حركة المرور تمر عبر البروكسي

الخاتمة

إعداد Web Proxy على MikroTik هو حل عملي للتحكم في حركة المرور المؤسسية دون خوادم إضافية أو تراخيص. في بضع خطوات، تحصل على: تصفية المواقع غير المرغوب فيها، التخزين المؤقت لتوفير النطاق الترددي، تسجيل نشاط المستخدمين، وإمكانية توجيه حركة المرور عبر خوادم بروكسي خارجية.

الأهم هو ما يجب تذكره: يتعامل البروكسي المدمج في MikroTik بشكل جيد مع حركة مرور HTTP، ولكن لحماية الشبكة المؤسسية الحديثة بشكل كامل، حيث تشكل 95% من حركة المرور HTTPS، فإن إمكانياته غير كافية. في هذه الحالات، يتم استخدام MikroTik كبوابة وموجه، وتنتقل وظائف التصفية وفحص حركة المرور إلى حلول متخصصة.

إذا كانت مهمتك هي توجيه حركة مرور الشبكة المؤسسية بأكملها عبر بروكسي خارجي موثوق به مع IP ثابت أو مجموعة من العناوين، فانتبه إلى بروكسيات مراكز البيانات - حيث توفر سرعة عالية واتصال مستقر، وهو أمر حاسم عند استخدامها كـ parent proxy لمكتب كامل. لمهام حيث تكون الخصوصية القصوى مهمة، ويجب ألا تختلف حركة المرور عن حركة المرور العادية، فإن البروكسيات السكنية أو المحمولة هي الخيار الأفضل.

```