Torna al blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Configurazione del proxy sul router MikroTik: protezione della rete aziendale e filtraggio del traffico passo dopo passo

Guida dettagliata per la configurazione di un server proxy su MikroTik per proteggere la rete aziendale, filtrare il traffico e controllare l'accesso dei dipendenti.

📅26 marzo 2026
```html

Se nella tua azienda hai anche solo un router MikroTik, hai già uno strumento integrato per controllare il traffico, bloccare siti indesiderati e proteggere la rete aziendale. La maggior parte degli amministratori di sistema non utilizza nemmeno la metà delle sue potenzialità. In questa guida vedremo come configurare un proxy direttamente su MikroTik, senza server aggiuntivi e costi superflui.

Che cos'è il Web Proxy in MikroTik e perché è utile per le aziende

MikroTik RouterOS è un sistema operativo completo per dispositivi di rete, che include un server proxy HTTP/HTTPS integrato. Si chiama Web Proxy ed è disponibile a partire dalle licenze di base. Fondamentalmente, è un nodo intermedio tra gli utenti della tua rete e Internet: tutto il traffico passa attraverso di esso, e hai il pieno controllo su ciò che accade nella rete.

Qual è la differenza rispetto a un normale firewall? Il firewall opera a livello di indirizzi IP e porte — non "comprende" il contenuto delle richieste. Il proxy opera a livello applicativo: vede URL specifici, domini, tipi di contenuto. Questo offre un livello di controllo sostanzialmente diverso.

Il Web Proxy integrato in MikroTik è in grado di:

  • Cache dei contenuti web — riduce il carico sulla banda internet fino al 30–40% negli uffici con un uso attivo del browser
  • Bloccare l'accesso a siti specifici, domini, modelli di URL
  • Limitare l'accesso per indirizzi IP degli utenti o sottoreti
  • Registrare tutte le richieste HTTP — chi, dove e quando ha effettuato l'accesso
  • Funzionare in modalità trasparente — gli utenti non notano la sua presenza
  • Reindirizzare il traffico a un server proxy esterno (parent proxy)

È importante comprendere il limite: il Web Proxy integrato in MikroTik funziona solo con il traffico HTTP in modalità nativa. Il traffico HTTPS può essere intercettato solo in modalità trasparente con alcune limitazioni, oppure tramite la configurazione del parent proxy. Per un'ispezione completa di HTTPS sono necessarie soluzioni aggiuntive — di questo parleremo nella sezione sui proxy esterni.

💡 È utile sapere

Il Web Proxy in MikroTik funziona su RouterOS versione 2.9 e successive. Puoi controllare la versione del firmware nel menu System → RouterBoard o con il comando :put [/system routerboard get current-firmware] nel terminale.

Casi d'uso: a chi e perché serve questa configurazione

Prima di passare ai dettagli tecnici, vediamo alcune specifiche esigenze aziendali che il proxy su MikroTik può risolvere. Questo aiuterà a capire quali impostazioni sono necessarie.

Ufficio con dipendenti assunti

Il caso più comune. Obiettivi: bloccare i social media durante l'orario lavorativo, vietare il download di torrent, limitare l'accesso ai servizi di streaming che "consumano" banda. Il proxy trasparente su MikroTik risolve tutto questo senza installare agenti sui computer dei dipendenti. I dipendenti nemmeno sanno che il loro traffico è filtrato — tutto funziona automaticamente.

Internet café, coworking, hotel

Qui il proxy è necessario per due motivi: caching (i contenuti popolari vengono caricati più velocemente e non consumano nuovamente traffico) e filtraggio di base dei contenuti illegali. Il caching è particolarmente rilevante in caso di banda limitata o costosa.

Agenzie di marketing e team digitali

Uno scenario specifico: i team che lavorano con molti account pubblicitari su Facebook Ads, TikTok Ads, Instagram, spesso utilizzano MikroTik aziendale come gateway per instradare il traffico attraverso proxy esterni. Diversi dipendenti o stazioni di lavoro accedono a Internet tramite indirizzi IP diversi — questo è critico per lavorare con più account sulla stessa piattaforma.

Fornitori e ISP

I piccoli fornitori utilizzano il proxy caching di MikroTik per ridurre il carico sulla banda principale. Con un gran numero di abbonati che guardano le stesse notizie o video su YouTube, il caching offre un risparmio tangibile di traffico.

Scenario Obiettivo principale Funzioni necessarie
Ufficio Controllo accessi Filtraggio URL, log
Café / coworking Risparmio di traffico Caching, filtraggio di base
Agenzia digitale IP diversi per gli account Parent proxy, instradamento
Fornitore Riduzione del carico sulla banda Caching, statistiche

Cosa serve prima di iniziare la configurazione

Prima di iniziare la configurazione, assicurati di avere tutto il necessario. Saltare questo passaggio è la causa dell'80% dei problemi durante la configurazione.

Accesso al router: Avrai bisogno di accesso all'interfaccia web di MikroTik (Winbox o WebFig) con diritti di amministratore. Winbox è l'opzione preferita, poiché offre accesso completo a tutte le impostazioni. Puoi scaricarlo gratuitamente dal sito ufficiale di MikroTik.

Versione RouterOS: Per un funzionamento stabile del Web Proxy, si consiglia RouterOS 6.x o 7.x. Controlla la versione tramite System → Packages. Se la versione è obsoleta, aggiorna tramite System → Packages → Check for Updates.

Spazio libero su disco: La cache del proxy è memorizzata sul disco del router. Per la cache è necessario un minimo di 50–100 MB di spazio libero. Controlla tramite Files in Winbox. Su router con memoria flash limitata (8 MB o meno), è meglio disabilitare la cache.

Schema di rete: Scrivi o disegna quali sottoreti hai, quale interfaccia guarda verso Internet (WAN) e quale verso la rete interna (LAN). Senza questa comprensione, non sarà possibile configurare le regole NAT per il proxy trasparente.

⚠️ Importante: fai un backup della configurazione!

Prima di apportare modifiche, crea una copia di sicurezza: Files → Backup o tramite terminale con il comando /system backup save name=backup-before-proxy. Questo ti salverà dalla perdita di accesso al router in caso di errore nelle regole del firewall.

Passo 1: Attiviamo il Web Proxy su MikroTik

Attivare il Web Proxy è il passo più semplice. Si fa tutto tramite l'interfaccia grafica di Winbox in pochi minuti.

Attraverso Winbox (raccomandato):

  1. Apri Winbox e connettiti al router
  2. Nel menu a sinistra seleziona IP → Web Proxy
  3. Nella finestra che si apre, spunta la casella Enabled
  4. Imposta la porta — di default 8080, puoi lasciarla o modificarla
  5. Nel campo Max Cache Size specifica la dimensione della cache (ad esempio, 100 MB) oppure scegli unlimited se lo spazio lo consente
  6. Clicca su Apply, poi su OK

Attraverso il terminale (per chi preferisce la riga di comando):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB

Dopo aver attivato, controlla che il proxy sia avviato. Nel terminale esegui: 

/ip proxy print

Nell'output dovrebbe esserci enabled: yes. Se vedi enabled: no — significa che qualcosa è andato storto, ripeti i passaggi.

A questo punto, il proxy è attivato, ma non intercetta ancora automaticamente il traffico. Gli utenti devono configurarlo manualmente nelle impostazioni del browser (IP del router, porta 8080). Per farlo automaticamente per tutta la rete — è necessaria la modalità trasparente, di cui parleremo nel passo successivo.

Fai anche attenzione al parametro Cache Path — indica dove viene salvata la cache. Di default è la memoria integrata del router. Se hai una chiavetta USB o una scheda di memoria, è meglio spostare la cache lì — questo aumenterà il volume e ridurrà l'usura della memoria integrata.

Passo 2: Configurazione del proxy trasparente tramite Firewall NAT

Il proxy trasparente è una modalità in cui tutto il traffico HTTP dalla rete locale viene automaticamente reindirizzato attraverso il server proxy. Gli utenti non devono configurare nulla nei browser. Dal punto di vista del dipendente, tutto funziona come al solito, ma in realtà ogni richiesta passa attraverso il proxy.

Questo viene implementato tramite una regola NAT nel firewall di MikroTik. La regola intercetta tutto il traffico TCP in uscita sulla porta 80 (HTTP) e lo reindirizza alla porta del proxy (8080).

Attraverso Winbox:

  1. Vai su IP → Firewall → NAT
  2. Clicca sul pulsante + (aggiungi regola)
  3. Nel tab General imposta:
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 80
    • In. Interface: la tua interfaccia LAN (ad esempio, ether2 o bridge-local)
  4. Nel tab Action imposta:
    • Action: redirect
    • To Ports: 8080
  5. Clicca su OK

Attraverso il terminale:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080

Sostituisci ether2 con il nome della tua interfaccia LAN. Se hai più interfacce LAN unite in un bridge, specifica il nome dell'interfaccia bridge.

📌 L'ordine delle regole è importante!

MikroTik applica le regole NAT in ordine dall'alto verso il basso. Assicurati che la regola per il proxy trasparente sia prima della regola masquerade (se presente). L'ordine può essere modificato trascinandolo in Winbox o con il comando /ip firewall nat move [find] destination=0.

Dopo aver aggiunto la regola, controlla il funzionamento: apri qualsiasi sito HTTP da un computer nella rete locale. Se il proxy funziona correttamente, la pagina si aprirà e nei log del proxy (IP → Web Proxy → Access) apparirà una registrazione. Se la pagina non si apre, controlla il nome dell'interfaccia e la porta del proxy.

Passo 3: Regole di filtraggio — blocchiamo siti e categorie

Questa è la sezione chiave per chi desidera controllare l'accesso dei dipendenti a Internet. Il Web Proxy in MikroTik consente di creare regole flessibili: bloccare domini specifici, modelli di URL, o al contrario — consentire solo determinate risorse.

Le regole di accesso si configurano in IP → Web Proxy → Access. Ogni regola ha condizioni (cosa controllare) e azioni (cosa fare: allow o deny).

Blocco di un dominio specifico (ad esempio, vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Blocca VK"
add dst-host=*.vk.com action=deny comment="Blocca i sottodomini di VK"

Blocco per maschera URL (ad esempio, tutte le pagine di YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Blocca YouTube"
add dst-host=youtube.com action=deny comment="Blocca YouTube principale"

Consentire l'accesso solo a una sottorete specifica (ad esempio, solo il dipartimento IT può accedere a GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny

Blocco per estensione dei file (vietare il download di .exe, .torrent):

/ip proxy access
add path=*.exe action=deny comment="Blocca i download di EXE"
add path=*.torrent action=deny comment="Blocca i file Torrent"
add path=*.zip action=deny comment="Blocca i download di ZIP"

Fai attenzione all'ordine delle regole: MikroTik le verifica dall'alto verso il basso e si ferma alla prima corrispondenza. Le regole allow per indirizzi IP specifici devono essere superiori alle regole deny per gli stessi domini.

Attraverso Winbox, le regole si aggiungono in IP → Web Proxy → tab Access → pulsante +. L'interfaccia è intuitiva: scegli la condizione (Source Address, Destination Host, Path, Method) e l'azione (Allow/Deny).

⚠️ Limitazione: HTTPS non viene filtrato direttamente

Le regole del Web Proxy funzionano solo con il traffico HTTP. Per bloccare i siti HTTPS (che ora sono la maggior parte), utilizza anche le regole in IP → Firewall → Layer 7 Protocols o blocca per indirizzi IP tramite il firewall normale. Un filtraggio completo di HTTPS richiede una soluzione separata — ad esempio, un proxy esterno con ispezione SSL.

Passo 4: Cache del traffico per risparmiare banda

Il caching è uno dei principali motivi per cui si attiva un proxy su MikroTik in piccoli uffici e istituzioni educative. Il principio è semplice: se 20 dipendenti aprono la stessa pagina di notizie, senza cache il router la scarica 20 volte. Con la cache — una sola volta, e le altre 19 ottengono i dati dalla memoria locale del router istantaneamente.

Le impostazioni della cache si trovano in IP → Web Proxy. I parametri principali:

Parametro Descrizione Raccomandazione
max-cache-size Dimensione massima della cache 50–500 MB a seconda della memoria
max-cache-object-size Dimensione massima di un oggetto nella cache 2048–4096 KB
cache-path Percorso per la memorizzazione della cache Chiavetta USB se disponibile
max-fresh-time Tempo di conservazione di un oggetto nella cache 3 giorni (259200 secondi)

Impostazione tramite terminale:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d

Per controllare l'efficacia della cache, utilizza il comando: 

/ip proxy monitor

Fai attenzione ai valori hits e misses. Un buon valore è quando gli hits rappresentano il 20–40% del numero totale di richieste. Se gli hits sono vicini a zero, significa che la maggior parte del traffico è HTTPS (che non viene memorizzato nella cache) oppure che la cache è troppo piccola.

Un aspetto importante: i siti moderni utilizzano sempre più spesso intestazioni Cache-Control: no-store o no-cache, che vietano la memorizzazione nella cache. Pertanto, nella pratica, l'efficacia della cache nel 2024 è inferiore rispetto a 5–10 anni fa. Tuttavia, per le risorse statiche (immagini, CSS, file JS) la cache continua a funzionare bene.

Passo 5: Collegamento a un server proxy esterno tramite MikroTik

Questo è lo scenario più interessante per chi desidera non solo filtrare il traffico, ma controllare completamente l'indirizzo IP da cui esce in Internet la rete aziendale o singoli dispositivi. MikroTik supporta la funzione Parent Proxy — quando tutte le richieste dal proxy locale vengono inviate a un server proxy esterno superiore.

Perché è utile nella pratica:

  • Cambio IP per tutta la rete — tutto il traffico dell'ufficio esce tramite l'IP del proxy esterno, non tramite il tuo reale IP del fornitore
  • Bypass delle restrizioni regionali — accesso a risorse bloccate nella tua regione
  • IP diversi per dispositivi diversi — tramite instradamento, diverse stazioni di lavoro utilizzano proxy esterni diversi
  • Protezione dell'IP reale dell'azienda — i servizi esterni vedono l'IP del proxy, non il tuo indirizzo aziendale

Configurazione del Parent Proxy tramite Winbox:

  1. Vai su IP → Web Proxy
  2. Trova la sezione Parent Proxy
  3. Inserisci Parent Proxy Address — l'indirizzo IP del server proxy esterno
  4. Specifica Parent Proxy Port — la porta del proxy (di solito 8080, 3128 o altra)
  5. Clicca su Apply

Attraverso il terminale:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080

Sostituisci 203.0.113.10 e 8080 con i dati reali del tuo server proxy.

Per compiti aziendali dove la stabilità e l'anonimato sono importanti, come parent proxy si utilizzano proxy residenziali — hanno indirizzi IP di utenti domestici reali, rendendo il traffico indistinguibile da quello di un normale utente. Questo è particolarmente importante quando si lavora con piattaforme che analizzano il comportamento e il tipo di connessione.

Se il tuo team deve simulare traffico mobile — ad esempio, per testare campagne pubblicitarie su Facebook Ads o Instagram da dispositivi mobili — come parent proxy sono adatti proxy mobili. Questi funzionano tramite SIM reali degli operatori di telefonia e forniscono IP delle reti mobili 3G/4G/5G.

📌 Importante: il Parent Proxy funziona solo per HTTP

Il Web Proxy integrato di MikroTik trasmette tramite parent proxy solo il traffico HTTP che passa attraverso il proxy. Per instradare tutto il traffico (incluso HTTPS) attraverso un proxy esterno, è necessario utilizzare un approccio diverso — configurare il Policy Based Routing o un proxy SOCKS in combinazione con le regole iptables su un server Linux separato nella rete.

Monitoraggio e registrazione delle richieste

Uno dei principali argomenti a favore del proxy in un ambiente aziendale è la possibilità di vedere cosa fanno gli utenti su Internet. Il Web Proxy di MikroTik è in grado di registrare tutte le richieste HTTP: chi (indirizzo IP), dove (URL), quando, quale metodo di richiesta e stato della risposta.

Attivazione della registrazione:

/ip proxy
set log-connect=yes

Dopo aver attivato, i log appariranno in Log (menu in Winbox). Per una visualizzazione comoda, filtra per tema web-proxy.

Per una conservazione a lungo termine dei log e un'analisi comoda, configura l'invio a un server Syslog esterno: 

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy

Sostituisci 192.168.1.100 con l'IP del tuo server syslog. Come server syslog puoi utilizzare Graylog, Splunk o un semplice rsyslog su Linux.

È anche utile il comando per visualizzare le statistiche del proxy in tempo reale: 

/ip proxy monitor

Qui vedrai: il numero di connessioni attive, il numero totale di richieste, i colpi in cache, il volume di dati trasferiti. Questi dati aiutano a valutare il carico sul router e l'efficacia della cache.

Importante nota su GDPR e legislazione del lavoro: se registri il traffico dei dipendenti, assicurati che ciò sia previsto dal contratto di lavoro o dalla politica aziendale di sicurezza. In alcuni paesi, il monitoraggio dell'attività internet dei dipendenti senza il loro consenso è una violazione della legge.

Errori comuni e come risolverli

Abbiamo raccolto i problemi più comuni che si incontrano durante la configurazione del Web Proxy su MikroTik e i modi per risolverli.

Errore 1: Internet ha smesso di funzionare dopo la configurazione del proxy trasparente

Motivo: L'interfaccia LAN è stata specificata in modo errato nella regola NAT, oppure la regola non è nella posizione corretta.

Soluzione: Controlla il nome dell'interfaccia con il comando /interface print. Assicurati di specificare l'interfaccia a cui sono connessi gli utenti. Se hai usato un bridge — specifica il bridge, non la porta fisica.

Errore 2: I siti HTTPS non vengono bloccati dalle regole del Web Proxy

Motivo: Il Web Proxy in MikroTik non intercetta il traffico HTTPS. Le regole in IP → Web Proxy → Access funzionano solo per HTTP.

Soluzione: Per bloccare i siti HTTPS, utilizza Layer 7 Protocols o Address Lists nel firewall. Ad esempio, aggiungi gli indirizzi IP del sito desiderato nella lista e bloccalo tramite IP → Firewall → Filter Rules.

Errore 3: Il proxy funziona, ma la cache non si riempie

Motivo: La maggior parte dei siti moderni utilizza HTTPS e intestazioni che vietano la memorizzazione nella cache. La cache funziona solo per HTTP.

Soluzione: Questo è un comportamento normale per il web moderno. La cache si riempirà con risorse statiche (immagini, file) da siti HTTP. Se la cache è critica, considera soluzioni specializzate come Squid su un server separato con SSL-bump.

Errore 4: Il router è diventato lento dopo l'attivazione del proxy

Motivo: Il processore debole del router non riesce a gestire il carico del proxy con un gran numero di utenti.

Soluzione: Controlla il carico della CPU con il comando /system resource print. Se la CPU è costantemente sopra l'80% — riduci la dimensione della cache o sposta il proxy su un server separato (Squid su Ubuntu/Debian). In tal caso, MikroTik viene utilizzato solo come gateway, reindirizzando il traffico al proxy esterno.

Errore 5: Il Parent Proxy non funziona — i siti si aprono tramite l'IP reale

Motivo: Il Parent Proxy in MikroTik si applica solo al traffico che passa effettivamente attraverso il Web Proxy. Le richieste HTTPS e il traffico non intercettato dalla regola NAT vanno direttamente.

Soluzione: Assicurati che la regola del proxy trasparente (redirect sulla porta 8080) sia attiva e nella posizione corretta. Per un completo reindirizzamento di tutto il traffico attraverso un proxy esterno, sarà necessaria una configurazione più complessa utilizzando Policy Based Routing.

Problema Diagnosi rapida Soluzione
Nessuna connessione a Internet /interface print Controlla il nome dell'interfaccia LAN
HTTPS non bloccato Controlla il protocollo del sito Usa Layer 7 o blocco IP
Il router è lento /system resource print Riduci la cache o sposta il proxy
Il parent proxy non funziona Controlla la regola NAT redirect Assicurati che il traffico passi attraverso il proxy

Conclusione

Configurare il Web Proxy su MikroTik è una soluzione pratica per controllare il traffico aziendale senza server e licenze aggiuntive. In pochi passaggi ottieni: filtraggio di siti indesiderati, caching per risparmiare banda, registrazione dell'attività degli utenti e la possibilità di instradare il traffico attraverso server proxy esterni.

La cosa principale da ricordare: il proxy integrato di MikroTik gestisce bene il traffico HTTP, ma per una protezione completa della rete aziendale moderna, dove il 95% del traffico è HTTPS, le sue capacità non sono sufficienti. In questi casi, MikroTik viene utilizzato come gateway e router, mentre le funzioni di filtraggio e ispezione del traffico vengono delegate a soluzioni specializzate.

Se il tuo obiettivo è indirizzare il traffico dell'intera rete aziendale attraverso un proxy esterno affidabile con un IP fisso o un pool di indirizzi, dai un'occhiata ai proxy dei data center — offrono alta velocità e connessione stabile, il che è critico quando si utilizza come parent proxy per un intero ufficio. Per compiti in cui è massima l'anonimato e il traffico non deve essere distinguibile, considera l'uso di proxy residenziali o mobili.

```