Разограничение прокси/без проски, WPAD

0

1

Есть работающая подсеть /24 и в ней шлюз с прокси. В ней работают пользователи двух групп: «интернет напрямую» и «интернет через прокси». Списки IP адресов для iptables и squid3 лежат на сервере в обычный файлах, тупо список IP адресов; Эти файлы читаются при старте либо при перезапуске службы. Всё настроено и обе группы отлично работают(если прописать вручную прокси в браузер для прокси-группы).

Проблема в том, что нужно часто менять группы пользователям. На сервере вообще не проблема, просто отредактировать 2 файла и перезапустить squid и ipset. А у пользователей проблема: каджый раз нужно снимать/устанавливать настройки прокси в браузере(ах!).

Самое очевидное в данной ситуации — использовать WPAD. Но как разограничить обе эти группы?

Я родил только такие варианты:

1. Ограничить на веб-сервере доступ к wpad-файлу кому это не нужно. Веб-сервер отдельный и тогда придётся помимо редактирования файликов на шлюзе каждый раз править конфиг сервера. Неудобно и можно забыть поправить.

2. С помощью DHCP раздавать путь до WPAD только прокси-группе, использовать привязку по MAC-адресу. Хороший вариант. DHCP находится на шлюз, можно автоматизировать скриптами. Правда, в интернете пишут, Firefox не поддерживает подобный(через DHCP) режим работы.

3. В самом WPAD-файле задать кто через прокси, а кто нет. Там JavaScript и адреса задаются по IP и маске. Крайне неудобно редактировать, опять же веб-сервер отдельный...

Ищу советов мудрых, как лучше всё организовать.

Ссылка

←	PowerDNS recursor отвечает ServFail на A запросы определённого хоста

Linux Containers, libvirtd и virsh

→

Прочитай про squid transparent proxy

snaf ★★★★★
(17.01.15 14:09:05 MSK)

Ответ на: комментарий от snaf 17.01.15 14:09:05 MSK

Как будет работать https через transparent?

greek_31 ★★
(17.01.15 14:26:27 MSK) автор топика

Ответ на: комментарий от greek_31 17.01.15 14:26:27 MSK

Как будет работать https через transparent?

как настроишь:
1) через прокси
2) в обход прокси

snaf ★★★★★
(17.01.15 14:28:39 MSK)

Ответ на: комментарий от snaf 17.01.15 14:28:39 MSK

1) через прокси

Вариант в обход не рассматривается. Через прокси можно будет настроить так, что бы отдавались родные сертификаты серверов? Если я пропишу deny google.com, то он заблочит и оба протокола?

Когда я последний раз читал про прозрачный прокси, там были проблемы с https. Да и раньше стоял прозрачный(не я настраивал) который втупую пропускал весь https трафик.

greek_31 ★★
(17.01.15 14:36:59 MSK) автор топика
Последнее исправление: greek_31 17.01.15 14:37:20 MSK (всего исправлений: 1)

Ответ на: комментарий от greek_31 17.01.15 14:36:59 MSK

Через прокси можно будет настроить так, что бы отдавались родные сертификаты серверов?

я находил мануалы в которых рассказывалось как это провернуть, но я пару раз пытался и ничего не вышло. Теоретически это возможно.

snaf ★★★★★
(17.01.15 15:40:08 MSK)

Ссылка

Ответ на: комментарий от greek_31 17.01.15 14:36:59 MSK

настроить так, что бы отдавались родные сертификаты серверов?

Если я пропишу deny google.com, то он заблочит и оба протокола?

Такой режим есть в новом 3.5 сквиде, который еще не вышел :) Называется PeekAndSplice, когда сквид заглядывает в сертификат сервера, но в сам коннект не вмешивается, позволяя SSL работать напрямую с сертификатами удаленного сервака.

http://wiki.squid-cache.org/Features/SslPeekAndSplice

Как работает - не проверял.

Собсно тебе зачем настоящие сертификаты серверов нужны? У меня и со сгенерированными сквидом всё прекрасно пашет, для некоторых сайтов только сделал прямой коннект без вмешательства (типа Контура и т.п.)

blind_oracle ★★★★★
(17.01.15 17:33:09 MSK)

~~zgen~~ ★★★★★
(17.01.15 18:21:44 MSK)

Ссылка

В ней работают пользователи двух групп: «интернет напрямую» и «интернет через прокси».

Что-то в консерватории идёт не так... Да, есть ПО, которое плохо работает/не работает с proxy. Но в 90 процентах, его можно попросить работать через socks.

Есть работающая подсеть /24 и в ней шлюз с прокси.

Раздели её на сегменты, и раздавай через dhcp. В один сегмент Интернет напрямую, в другую сеть - через wpad.

Проблема в том, что нужно часто менять группы пользователям.

Что-то в консерватории поломалось. Это к доктору!

В самом WPAD-файле задать кто через прокси, а кто нет.

Этот способ толковый. Хотя более толковее мне бы видилось две подсети + VLAN.

DALDON ★★★★★
(17.01.15 22:55:49 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 17.01.15 17:33:09 MSK

А нафига тебе сдался sslbump, если у тебя там винда+домен? Раздал бы через GPO+wpad. Ну и kerberos...

DALDON ★★★★★
(17.01.15 22:57:44 MSK)

Ответ на: комментарий от DALDON 17.01.15 22:57:44 MSK

Всмысле? У меня прокси и так роздано через GPO, я перехватом коннектов не занимаюсь. Но это же не отменяет необходимости подделывать сертификаты чтобы подглядывать внутрь SSL-сессий, а тут без sslbump + динамическая генерация сертификатов никуда.

blind_oracle ★★★★★
(18.01.15 09:08:07 MSK)

Ответ на: комментарий от blind_oracle 18.01.15 09:08:07 MSK

Ааа, я затупил. Логично конечно. Ты, хочешь смотреть чем они там занимаются у тебя, внутри https. :)

DALDON ★★★★★
(18.01.15 09:13:08 MSK)

Ответ на: комментарий от DALDON 18.01.15 09:13:08 MSK

Ну дык, щас пол-интернета по SSL работает. И, судя по инициативам гугеля, они вообще весь туда запихнуть хотят :) В принципе, это хорошо, чтобы враги не читали, но я-то читать хочу ;)

blind_oracle ★★★★★
(18.01.15 09:25:02 MSK)

Ответ на: комментарий от blind_oracle 18.01.15 09:25:02 MSK

А мне в целом даже нравится...

Смотри, раньше у меня в отчёте squid болталось: человек вошёл на Яндекс, а там ещё 100 ссылок, со всеми счётчиками, со всеми ссылками и подсылками, всё что там затянулось, все скрипты, и т.п. - и только платные системы вроде kerio, умело определять изначальный сайт и только его показывать. А теперь с https - красота! Я теперь вижу: https://video.google.com, и мне как-бы накакать, что он там смотрел, этого уже достаточно, чтобы понять, что человек бездельничал. :)

DALDON ★★★★★
(18.01.15 10:30:05 MSK)

Ссылка

пользователи двух групп: «интернет напрямую» и «интернет через прокси»

Всех пускай через NAT, да и всё. В 2015, стрёмно через прокси людей в инет выпускать. Не порть себе карму.

~~armbox~~
(18.01.15 19:00:36 MSK)

Ответ на: комментарий от armbox 18.01.15 19:00:36 MSK

Прокси используется для контроля и шейпинга, а не для кеширования. У меня сквид даже собран без него, а то в наше время иопсы схд дороже траффика ;)

blind_oracle ★★★★★
(19.01.15 00:15:39 MSK)

Ссылка

WPAD можно генерить скриптом. Если его формат сделать строго определённым, то можно другми скриптом извлекать из него нужный список ip-адресов. Так что решайте что вам проще — генерить WPAD-файл на шлюзе и заливать его на веб-сервер или регулярно скачивать его на шлюз и в случае изменений переконфигурировать squid и iptables, естественно, с помощью скриптов.

нужно часто менять группы пользователям.

А браузеры получают изменения WPAD.DAT или только при запуске браузера?

mky ★★★★★
(19.01.15 01:49:23 MSK)

Ответ на: комментарий от mky 19.01.15 01:49:23 MSK

При запуске.

Идея ТС, «что нужно часто менять группы пользователям» не в домене, а на самом прокси, откровенно идиотская. Проблема должна решаться не так.

Весь внешний (http{s,}-)трафик отруливается на прокси, который уже разрешает доступы. Софт, не умеющий в прокси обрабатывать отдельно.

dhameoelin ★★★★★
(19.01.15 02:02:00 MSK)
Последнее исправление: dhameoelin 19.01.15 02:03:57 MSK (всего исправлений: 2)

Ответ на: комментарий от dhameoelin 19.01.15 02:02:00 MSK

Ну спасибо, что объяснил «как надо».

greek_31 ★★
(19.01.15 10:42:42 MSK) автор топика

Ответ на: комментарий от greek_31 19.01.15 10:42:42 MSK

Ты хочешь разграничивать доступ или задолбаться?

dhameoelin ★★★★★
(19.01.15 12:29:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PowerDNS recursor отвечает ServFail на A запросы определённого хоста

Admin

Linux Containers, libvirtd и virsh

→

Похожие темы