Configuração de Proxy no Roteador MikroTik: Proteção da Rede Corporativa e Filtragem de Tráfego Passo a Passo

Se a sua empresa possui pelo menos um roteador MikroTik — você já tem uma ferramenta integrada para controlar o tráfego, bloquear sites indesejados e proteger a rede corporativa. A maioria dos administradores de sistema não utiliza nem metade de suas capacidades. Neste guia, vamos explorar como configurar um proxy diretamente no MikroTik — sem servidores adicionais e sem custos extras.

O que é Web Proxy no MikroTik e por que é necessário para os negócios

MikroTik RouterOS é um sistema operacional completo para equipamentos de rede, que inclui um servidor proxy HTTP/HTTPS integrado. Ele é chamado de Web Proxy e está disponível a partir de licenças básicas. Essencialmente, é um nó intermediário entre os usuários da sua rede e a internet: todo o tráfego passa por ele, e você tem controle total sobre o que acontece na rede.

Como isso difere de um firewall comum? O firewall opera no nível de endereços IP e portas — ele não "entende" o conteúdo das solicitações. O proxy opera no nível de aplicativos: ele vê URLs, domínios e tipos de conteúdo específicos. Isso proporciona um nível de controle fundamentalmente diferente.

O Web Proxy integrado no MikroTik é capaz de:

• Cache de conteúdo da web — reduz a carga na banda de internet em até 30–40% em escritórios com navegação ativa
• Bloquear o acesso a sites, domínios e padrões de URL específicos
• Restringir o acesso por endereços IP de usuários ou sub-redes
• Registrar todas as solicitações HTTP — quem, para onde e quando acessou
• Operar em modo transparente — os usuários não percebem sua presença
• Redirecionar tráfego para um servidor proxy externo (parent proxy)

É importante entender a limitação: o Web Proxy integrado no MikroTik funciona apenas com tráfego HTTP em modo nativo. O tráfego HTTPS pode ser interceptado apenas em modo transparente com certas limitações, ou através da configuração de um parent proxy. Para uma inspeção completa do HTTPS, são necessárias soluções adicionais — falaremos sobre isso na seção sobre proxies externos.

Casos de uso: quem e por que precisa dessa configuração

Antes de entrar nos detalhes técnicos, vamos explorar as tarefas específicas que o proxy no MikroTik resolve. Isso ajudará a entender quais configurações você realmente precisa.

Escritório com funcionários contratados

O cenário mais comum. Tarefas: bloquear redes sociais durante o horário de trabalho, proibir downloads de torrents, limitar o acesso a serviços de streaming que "consomem" a banda. O proxy transparente no MikroTik resolve tudo isso sem a necessidade de instalar agentes nos computadores dos funcionários. Os funcionários nem sabem que seu tráfego está sendo filtrado — tudo funciona automaticamente.

Cafés da internet, coworkings, hotéis

Aqui, o proxy é necessário para duas coisas: cache (conteúdo popular carrega mais rápido e não consome tráfego repetidamente) e filtragem básica de conteúdo ilegal. O cache é especialmente relevante em conexões de internet limitadas ou caras.

Agências de marketing e equipes digitais

Um cenário específico: equipes que trabalham com várias contas de anúncios no Facebook Ads, TikTok Ads, Instagram, frequentemente usam o MikroTik corporativo como um gateway para roteamento de tráfego através de proxies externos. Diferentes funcionários ou estações de trabalho acessam a internet através de diferentes endereços IP — isso é crítico para trabalhar com várias contas em uma única plataforma.

Provedores e ISPs

Pequenos provedores usam o proxy cache do MikroTik para reduzir a carga na conexão principal. Com um grande número de assinantes assistindo as mesmas notícias ou vídeos do YouTube, o cache proporciona uma economia significativa de tráfego.

O que é necessário antes de começar a configuração

Antes de começar a configuração, certifique-se de que você tem tudo o que precisa. Ignorar esta etapa é a causa de 80% dos problemas durante a configuração.

Acesso ao roteador: Você precisará de acesso à interface web do MikroTik (Winbox ou WebFig) com permissões de administrador. O Winbox é a opção preferida, pois oferece acesso completo a todas as configurações. Você pode baixá-lo gratuitamente no site oficial da MikroTik.

Versão do RouterOS: Para um funcionamento estável do Web Proxy, recomenda-se RouterOS 6.x ou 7.x. Verifique a versão através de System → Packages. Se a versão estiver desatualizada — atualize através de System → Packages → Check for Updates.

Espaço livre no disco: O cache do proxy é armazenado no disco do roteador. Para cache, é necessário pelo menos 50–100 MB de espaço livre. Verifique através de Files no Winbox. Em roteadores com pouca memória flash (8 MB ou menos), é melhor desativar o cache.

Esquema de rede: Anote ou desenhe quais sub-redes você tem, qual interface está conectada à internet (WAN) e qual está na rede interna (LAN). Sem essa compreensão, não será possível configurar as regras NAT para o proxy transparente.

Passo 1: Ativando o Web Proxy no MikroTik

Ativar o Web Proxy é o passo mais simples. Tudo é feito através da interface gráfica do Winbox em poucos minutos.

Pelo Winbox (recomendado):

1. Abra o Winbox e conecte-se ao roteador
2. No menu à esquerda, selecione IP → Web Proxy
3. No janela que se abre, marque a opção Enabled
4. Defina a porta — por padrão 8080, você pode deixá-la ou alterá-la
5. No campo Max Cache Size, indique o tamanho do cache (por exemplo, 100 MB) ou escolha unlimited se houver espaço disponível
6. Clique em Apply, depois em OK

Pelo terminal (para quem prefere a linha de comando):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB
  

Após ativar, verifique se o proxy foi iniciado. No terminal, execute:

/ip proxy print
  

Na saída, deve aparecer enabled: yes. Se você ver enabled: no — significa que algo deu errado, repita os passos.

Neste estágio, o proxy está ativado, mas ainda não intercepta o tráfego automaticamente. Os usuários devem configurá-lo manualmente nas configurações do navegador (IP do roteador, porta 8080). Para fazer isso automaticamente para toda a rede — é necessário o modo transparente, que abordaremos no próximo passo.

Também preste atenção ao parâmetro Cache Path — ele indica onde o cache é armazenado. Por padrão, é a memória interna do roteador. Se você tiver um pen drive ou cartão de memória, é melhor mover o cache para lá — isso aumentará o volume e reduzirá o desgaste da memória interna.

Passo 2: Configurando o proxy transparente através do Firewall NAT

O proxy transparente é um modo em que todo o tráfego HTTP da rede local é automaticamente redirecionado através do servidor proxy. Os usuários não precisam configurar nada em seus navegadores. Do ponto de vista do funcionário, tudo funciona como de costume, mas na verdade cada solicitação passa pelo proxy.

Isso é implementado através de uma regra NAT no firewall do MikroTik. A regra intercepta todo o tráfego TCP de saída na porta 80 (HTTP) e o redireciona para a porta do proxy (8080).

Pelo Winbox:

1. Vá para IP → Firewall → NAT
2. Clique no botão + (adicionar regra)
3. Na aba General, configure:
   • Chain: dstnat
   • Protocol: tcp
   • Dst. Port: 80
   • In. Interface: sua interface LAN (por exemplo, ether2 ou bridge-local)
4. Na aba Action, configure:
   • Action: redirect
   • To Ports: 8080
5. Clique em OK

Pelo terminal:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080
  

Substitua ether2 pelo nome da sua interface LAN. Se você tiver várias interfaces LAN unidas em um bridge, indique o nome da interface bridge.

Após adicionar a regra, verifique se está funcionando: abra qualquer site HTTP a partir de um computador na rede local. Se o proxy estiver funcionando corretamente — a página abrirá, e nos logs do proxy (IP → Web Proxy → Access) aparecerá um registro. Se a página não abrir — verifique o nome da interface e a porta do proxy.

Passo 3: Regras de filtragem — bloqueando sites e categorias

Esta é a seção chave para quem deseja controlar o acesso dos funcionários à internet. O Web Proxy no MikroTik permite criar regras flexíveis: bloquear domínios específicos, padrões de URL, ou, ao contrário — permitir apenas determinados recursos.

As regras de acesso são configuradas em IP → Web Proxy → Access. Cada regra tem condições (o que verificar) e ação (o que fazer: allow ou deny).

Bloqueio de um domínio específico (por exemplo, vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Bloquear VK"
add dst-host=*.vk.com action=deny comment="Bloquear subdomínios do VK"
  

Bloqueio por máscara de URL (por exemplo, todas as páginas do YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Bloquear YouTube"
add dst-host=youtube.com action=deny comment="Bloquear YouTube principal"
  

Permitir acesso apenas para uma sub-rede específica (por exemplo, apenas o departamento de TI pode acessar o GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny
  

Bloqueio por extensão de arquivos (proibição de downloads .exe, .torrent):

/ip proxy access
add path=*.exe action=deny comment="Bloquear downloads EXE"
add path=*.torrent action=deny comment="Bloquear arquivos Torrent"
add path=*.zip action=deny comment="Bloquear downloads ZIP"
  

Preste atenção à ordem das regras: o MikroTik verifica de cima para baixo e para na primeira correspondência. As regras allow para IPs específicos devem estar acima das regras deny para os mesmos domínios.

No Winbox, as regras são adicionadas em IP → Web Proxy → aba Access → botão +. A interface é intuitiva: você escolhe a condição (Source Address, Destination Host, Path, Method) e a ação (Allow/Deny).

Passo 4: Cache de tráfego para economia de banda

O cache é uma das principais razões pelas quais o proxy é ativado no MikroTik em pequenos escritórios e instituições de ensino. O princípio é simples: se 20 funcionários abrem a mesma página de notícias, sem cache o roteador a baixa 20 vezes. Com cache — uma vez, e as outras 19 recebem os dados da memória local do roteador instantaneamente.

As configurações de cache estão em IP → Web Proxy. Os principais parâmetros:

Configuração pelo terminal:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d
  

Para verificar a eficácia do cache, use o comando:

/ip proxy monitor
  

Preste atenção nos indicadores hits e misses. Um bom indicador é quando hits representa 20–40% do total de solicitações. Se hits estiver próximo de zero — ou a maior parte do tráfego é HTTPS (que não é cacheado), ou o cache é muito pequeno.

Um detalhe importante: sites modernos estão cada vez mais utilizando cabeçalhos Cache-Control: no-store ou no-cache, que proíbem o cache. Portanto, na prática, a eficácia do cache em 2024 é inferior à de 5–10 anos atrás. No entanto, para recursos estáticos (imagens, CSS, arquivos JS), o cache ainda funciona bem.

Passo 5: Conectando um servidor proxy externo através do MikroTik

Este é o cenário mais interessante para quem deseja não apenas filtrar o tráfego, mas controlar completamente o endereço IP pelo qual a rede corporativa ou dispositivos individuais acessam a internet. O MikroTik suporta a função Parent Proxy — onde todas as solicitações do proxy local são enviadas para um servidor proxy externo superior.

Por que isso é necessário na prática:

• Troca de IP para toda a rede — todo o tráfego do escritório sai através do IP do proxy externo, e não do seu IP real do provedor
• Contornar restrições regionais — acesso a recursos bloqueados na sua região
• IPs diferentes para diferentes dispositivos — através do roteamento, diferentes estações de trabalho usam proxies externos diferentes
• Proteção do IP real da empresa — serviços externos veem o IP do proxy, e não o seu endereço corporativo

Configuração do Parent Proxy pelo Winbox:

1. Vá para IP → Web Proxy
2. Encontre a seção Parent Proxy
3. Digite Parent Proxy Address — o endereço IP do servidor proxy externo
4. Indique Parent Proxy Port — a porta do proxy (geralmente 8080, 3128 ou outra)
5. Clique em Apply

Pelo terminal:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080
  

Substitua 203.0.113.10 e 8080 pelos dados reais do seu servidor proxy.

Para tarefas corporativas onde a estabilidade e a anonimidade são importantes, proxies residenciais são utilizados como parent proxy — eles têm endereços IP de usuários reais, tornando o tráfego indistinguível do tráfego comum de usuários. Isso é especialmente importante ao trabalhar com plataformas que analisam comportamento e tipo de conexão.

Se sua equipe precisa simular tráfego móvel — por exemplo, para testar campanhas publicitárias no Facebook Ads ou Instagram a partir de dispositivos móveis — proxies móveis são adequados como parent proxy. Eles funcionam através de SIM cards reais de operadoras e fornecem IPs de redes móveis 3G/4G/5G.

Monitoramento e registro de solicitações

Um dos principais argumentos a favor do proxy em ambientes corporativos é a capacidade de ver o que os usuários estão fazendo na internet. O Web Proxy do MikroTik pode registrar todas as solicitações HTTP: quem (endereço IP), para onde (URL), quando, qual método de solicitação e status da resposta.

Ativando o registro:

/ip proxy
set log-connect=yes
  

Após ativar, os logs aparecerão em Log (menu no Winbox). Para uma visualização conveniente, filtre pelo tópico web-proxy.

Para armazenamento de logs a longo prazo e análise conveniente, configure o envio para um servidor Syslog externo:

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy
  

Substitua 192.168.1.100 pelo IP do seu servidor syslog. Você pode usar Graylog, Splunk ou um simples rsyslog no Linux como servidor syslog.

Também é útil o comando para visualizar estatísticas do proxy em tempo real:

/ip proxy monitor
  

Aqui você verá: o número de conexões ativas, o total de solicitações, acertos no cache, e o volume de dados transmitidos. Esses dados ajudam a avaliar a carga no roteador e a eficácia do cache.

Observação importante sobre GDPR e legislação trabalhista: se você registrar o tráfego dos funcionários, certifique-se de que isso esteja previsto no contrato de trabalho ou na política de segurança corporativa. Em vários países, monitorar a atividade na internet dos funcionários sem o seu conhecimento é uma violação da legislação.

Erros comuns e como corrigi-los

Compilamos os problemas mais comuns que surgem ao configurar o Web Proxy no MikroTik e as maneiras de resolvê-los.

Erro 1: A internet parou de funcionar após configurar o proxy transparente

Causa: A interface LAN foi especificada incorretamente na regra NAT, ou a regra está na posição errada.

Solução: Verifique o nome da interface com o comando /interface print. Certifique-se de que está especificando a interface à qual os usuários estão conectados. Se você usou um bridge — especifique o bridge, e não a porta física.

Erro 2: Sites HTTPS não estão sendo bloqueados pelas regras do Web Proxy

Causa: O Web Proxy no MikroTik não intercepta tráfego HTTPS. As regras em IP → Web Proxy → Access funcionam apenas para HTTP.

Solução: Para bloquear sites HTTPS, use Layer 7 Protocols ou Address Lists no firewall. Por exemplo, adicione os endereços IP do site desejado à lista e bloqueie-o através de IP → Firewall → Filter Rules.

Erro 3: O proxy está funcionando, mas o cache não está sendo preenchido

Causa: A maioria dos sites modernos usa HTTPS e cabeçalhos que proíbem o cache. O cache funciona apenas para HTTP.

Solução: Este é um comportamento normal para a web moderna. O cache será preenchido com recursos estáticos (imagens, arquivos) de sites HTTP. Se o cache for crítico — considere soluções especializadas como Squid em um servidor separado com SSL-bump.

Erro 4: O roteador começou a funcionar lentamente após ativar o proxy

Causa: O processador fraco do roteador não consegue lidar com a carga do proxy com um grande número de usuários.

Solução: Verifique a carga da CPU com o comando /system resource print. Se a CPU estiver constantemente acima de 80% — reduza o tamanho do cache ou mova o proxy para um servidor separado (Squid no Ubuntu/Debian). O MikroTik, nesse caso, é usado apenas como um gateway, redirecionando o tráfego para o proxy externo.

Erro 5: Parent Proxy não funciona — sites abrem através do IP real

Causa: O Parent Proxy no MikroTik é aplicado apenas ao tráfego que realmente passa pelo Web Proxy. Solicitações HTTPS e tráfego não interceptado pela regra NAT vão diretamente.

Solução: Certifique-se de que a regra do proxy transparente (redirect para a porta 8080) está ativa e na posição correta. Para redirecionar todo o tráfego através do proxy externo, será necessária uma configuração mais complexa usando Policy Based Routing.

Conclusão

Configurar o Web Proxy no MikroTik é uma solução prática para controlar o tráfego corporativo sem servidores e licenças adicionais. Em poucos passos, você obtém: filtragem de sites indesejados, cache para economia de banda, registro da atividade dos usuários e a possibilidade de roteamento de tráfego através de servidores proxy externos.

O principal a lembrar: o proxy integrado do MikroTik lida bem com tráfego HTTP, mas para uma proteção completa da rede corporativa moderna, onde 95% do tráfego é HTTPS, suas capacidades são insuficientes. Nesses casos, o MikroTik é usado como um gateway e roteador, enquanto as funções de filtragem e inspeção de tráfego são delegadas a soluções especializadas.

Se sua tarefa é direcionar o tráfego de toda a rede corporativa através de um proxy externo confiável com um IP fixo ou um pool de endereços, considere os proxies de data center — eles oferecem alta velocidade e conexão estável, o que é crítico ao serem usados como parent proxy para um escritório inteiro. Para tarefas onde a máxima anonimidade é importante e o tráfego não deve ser detectável, considere o uso de proxies residenciais.