LINUX.ORG.RU
ФорумAdmin

Разограничение прокси/без проски, WPAD

 ,


0

1

Есть работающая подсеть /24 и в ней шлюз с прокси. В ней работают пользователи двух групп: «интернет напрямую» и «интернет через прокси». Списки IP адресов для iptables и squid3 лежат на сервере в обычный файлах, тупо список IP адресов; Эти файлы читаются при старте либо при перезапуске службы. Всё настроено и обе группы отлично работают(если прописать вручную прокси в браузер для прокси-группы).

Проблема в том, что нужно часто менять группы пользователям. На сервере вообще не проблема, просто отредактировать 2 файла и перезапустить squid и ipset. А у пользователей проблема: каджый раз нужно снимать/устанавливать настройки прокси в браузере(ах!).

Самое очевидное в данной ситуации — использовать WPAD. Но как разограничить обе эти группы?

Я родил только такие варианты:

1. Ограничить на веб-сервере доступ к wpad-файлу кому это не нужно. Веб-сервер отдельный и тогда придётся помимо редактирования файликов на шлюзе каждый раз править конфиг сервера. Неудобно и можно забыть поправить.

2. С помощью DHCP раздавать путь до WPAD только прокси-группе, использовать привязку по MAC-адресу. Хороший вариант. DHCP находится на шлюз, можно автоматизировать скриптами. Правда, в интернете пишут, Firefox не поддерживает подобный(через DHCP) режим работы.

3. В самом WPAD-файле задать кто через прокси, а кто нет. Там JavaScript и адреса задаются по IP и маске. Крайне неудобно редактировать, опять же веб-сервер отдельный...

Ищу советов мудрых, как лучше всё организовать.

Ответ на: комментарий от snaf

1) через прокси

Вариант в обход не рассматривается. Через прокси можно будет настроить так, что бы отдавались родные сертификаты серверов? Если я пропишу deny google.com, то он заблочит и оба протокола?

Когда я последний раз читал про прозрачный прокси, там были проблемы с https. Да и раньше стоял прозрачный(не я настраивал) который втупую пропускал весь https трафик.

greek_31 ★★ ()
Последнее исправление: greek_31 (всего исправлений: 1)
Ответ на: комментарий от greek_31

Через прокси можно будет настроить так, что бы отдавались родные сертификаты серверов?

я находил мануалы в которых рассказывалось как это провернуть, но я пару раз пытался и ничего не вышло. Теоретически это возможно.

snaf ★★★★★ ()
Ответ на: комментарий от greek_31

настроить так, что бы отдавались родные сертификаты серверов?

Если я пропишу deny google.com, то он заблочит и оба протокола?

Такой режим есть в новом 3.5 сквиде, который еще не вышел :) Называется PeekAndSplice, когда сквид заглядывает в сертификат сервера, но в сам коннект не вмешивается, позволяя SSL работать напрямую с сертификатами удаленного сервака.

http://wiki.squid-cache.org/Features/SslPeekAndSplice

Как работает - не проверял.

Собсно тебе зачем настоящие сертификаты серверов нужны? У меня и со сгенерированными сквидом всё прекрасно пашет, для некоторых сайтов только сделал прямой коннект без вмешательства (типа Контура и т.п.)

blind_oracle ★★★★★ ()

В ней работают пользователи двух групп: «интернет напрямую» и «интернет через прокси».

Что-то в консерватории идёт не так... Да, есть ПО, которое плохо работает/не работает с proxy. Но в 90 процентах, его можно попросить работать через socks.

Есть работающая подсеть /24 и в ней шлюз с прокси.

Раздели её на сегменты, и раздавай через dhcp. В один сегмент Интернет напрямую, в другую сеть - через wpad.

Проблема в том, что нужно часто менять группы пользователям.

Что-то в консерватории поломалось. Это к доктору!

В самом WPAD-файле задать кто через прокси, а кто нет.

Этот способ толковый. Хотя более толковее мне бы видилось две подсети + VLAN.

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Всмысле? У меня прокси и так роздано через GPO, я перехватом коннектов не занимаюсь. Но это же не отменяет необходимости подделывать сертификаты чтобы подглядывать внутрь SSL-сессий, а тут без sslbump + динамическая генерация сертификатов никуда.

blind_oracle ★★★★★ ()
Ответ на: комментарий от DALDON

Ну дык, щас пол-интернета по SSL работает. И, судя по инициативам гугеля, они вообще весь туда запихнуть хотят :) В принципе, это хорошо, чтобы враги не читали, но я-то читать хочу ;)

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

А мне в целом даже нравится...

Смотри, раньше у меня в отчёте squid болталось: человек вошёл на Яндекс, а там ещё 100 ссылок, со всеми счётчиками, со всеми ссылками и подсылками, всё что там затянулось, все скрипты, и т.п. - и только платные системы вроде kerio, умело определять изначальный сайт и только его показывать. А теперь с https - красота! Я теперь вижу: https://video.google.com, и мне как-бы накакать, что он там смотрел, этого уже достаточно, чтобы понять, что человек бездельничал. :)

DALDON ★★★★★ ()

пользователи двух групп: «интернет напрямую» и «интернет через прокси»

Всех пускай через NAT, да и всё. В 2015, стрёмно через прокси людей в инет выпускать. Не порть себе карму.

armbox ()
Ответ на: комментарий от armbox

Прокси используется для контроля и шейпинга, а не для кеширования. У меня сквид даже собран без него, а то в наше время иопсы схд дороже траффика ;)

blind_oracle ★★★★★ ()

WPAD можно генерить скриптом. Если его формат сделать строго определённым, то можно другми скриптом извлекать из него нужный список ip-адресов. Так что решайте что вам проще — генерить WPAD-файл на шлюзе и заливать его на веб-сервер или регулярно скачивать его на шлюз и в случае изменений переконфигурировать squid и iptables, естественно, с помощью скриптов.

нужно часто менять группы пользователям.

А браузеры получают изменения WPAD.DAT или только при запуске браузера?

mky ★★★★★ ()
Ответ на: комментарий от mky

При запуске.

Идея ТС, «что нужно часто менять группы пользователям» не в домене, а на самом прокси, откровенно идиотская. Проблема должна решаться не так.

Весь внешний (http{s,}-)трафик отруливается на прокси, который уже разрешает доступы. Софт, не умеющий в прокси обрабатывать отдельно.

dhameoelin ★★★★★ ()
Последнее исправление: dhameoelin (всего исправлений: 2)
Ответ на: комментарий от greek_31

Ты хочешь разграничивать доступ или задолбаться?

dhameoelin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.