Приветствую! В организации есть пограничный маршрутизатор (микротик RB1100), и хотя в нем есть некое подобие web-proxy , это решение очень ограниченное и работает только по http. Понятно, что основной трафик сейчас идет шифрованный TLS/SSL. Я сторонник распределения функций, и для ведения логов серфинга пользователей (это требование руководства, как минимум), а также ограничения доступа необходимо внедрить отдельный прокси, плюс антивирус.
Пока остановился на готовом решении в виде opensense. Так как он не реализует функцию межсетевого экрана и от него мне требуется только web proxy squid, оставил у него только один интерфейс.
Сначала располагался в той же подсети. Режим работы - с аутентификацией (т.е. не транспарентный, так как иначе я не смогу вести лог посещений в интернете и не смогу контролировать шифрованный трафик). После указания в браузере прокси, внутренний клиент из LAN не лезет в инет.
Сделал на роутере еще один интерфейс 192.168.10.1 , а у opensense указал адрес 192.168.10.71, дефолтный адрес - 10.1
Настройки web proxy Вкладка Forwars Proxy Proxy interfaces - LAN Proxy port 3128 SSL Proxy port 3129 [в доке написано: A Proxy which is used by a client to connect to the internet. It is usually used in companies to scan traffic for malware., по-умолчанию здесь 3128]. У клиентов в браузере оставил 80
Вкладка Proxy Auto-config - не заполнял, а потом заполнил: Proxies -> HTTP Proxy 192.168.10.1, все одно, без разницы
В итоге в браузере при запросе страницы по протоколу http получаю
A potential DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname.
по https Не удается открыть эту страницу
Чего надо сделать с DNS на проксе? Что приписать?
