LINUX.ORG.RU
ФорумAdmin

Прокси на centos7 для офиса

 , ,


0

1

День добрый.

Возникла такая потребность ограничить доступ к определенным ресурсам в организации. Для этой цели выбрал сервер на centos7 и squid.

После длительного чтения гайдов и мануалов по настройке сквида так и не получилось его заставить работать.

В идеале мне хотелось бы настроить прозрачный прокси для всех клиентов и выдавать различные доступы по имени машины.

Имеется DHCP/DNS -серверы настроенные на centos7 c 1 сетевым интерфейсом (это виртуальная машина и есть возможность сделать второй интерфейс но в ту же сеть)

Собсно вопрос в том возможно ли это реализовать с помощью сквида? ну или с помощью чего это можно осуществить?

Зарание спасибо!

P.S. конфиг squid’а

#
# Recommended minimum configuration:
#
shutdown_lifetime 0 seconds
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8	# RFC1918 possible internal network
#acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/24	# RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl bl dstdom_regex -i /etc/squid/bl
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
#

dns_nameservers 127.0.0.1 8.8.8.8
allow_underscore off
dns_retransmit_interval 1 seconds
dns_timeout 2 minutes
dns_defnames off
ignore_unknown_nameservers off
fqdncache_size 8192

#http_access deny bl all 
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports


# Only allow cachemgr access from localhost
http_access allow all
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access deny dstdomain vk.com 
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
#http_access deny all

# Squid normally listens to port 3128
http_port 192.168.0.254:3120 intercept
https_port 3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=16MB cert=/etc/squid/ssl_cert/myca.pem
http_port 3129 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=16MB cert=/etc/squid/ssl_cert/myca.pem

#http_port 192.168.0.254:3128 intercept
#https_port 192.168.0.254:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl_cert/myca.pem key=/etc/squid/ssl_cert/myca.pem
#https_port 192.168.0.254:3129

visible_hostname proxy.agix.local

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 200 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320


#dns_v4_first on



Последнее исправление: mifi (всего исправлений: 3)

В случае прозрачного прокси у тебя не будет работать ssl.

Хотя в современных squid что-то можно уже накрутить.

Но лучше именно transparent proxy не используй.

infomeh ★★
()
Ответ на: комментарий от infomeh

Собственно и хотелось бы узнать как лучше реализовать доступ к различным ресурсам… т.к. http:// уже почти не используется.

Сколько не смотрел мануалов везде транспарент прокси… но оно не работает, так доступ впринципе пропадает

mifi
() автор топика
Последнее исправление: mifi (всего исправлений: 1)
Ответ на: комментарий от infomeh

пробовал так же настроить ssl_bump, но что то не пошло…

как понял где то не докрутил что бы запустилось

mifi
() автор топика
Ответ на: комментарий от infomeh

А без прозрачного прокси, это что каждому клиенту настраивать доступ в инет через прокси? Не хотелось бы такого гемора.

alex_sim ★★★★
()

Проще всего – DNS блокировка, но она легко обходится. Более надежный вариант это прокси и свой сертификат. Доступ не через прокси режется, с помощью wpad конфигурируются клиенты, для нормальной работы нужно добавлять свой УЦ в список доверенных на клиентах.

cocucka ★★★★☆
()
Ответ на: комментарий от alex_sim

Читай про wpad.доменное_имя.

Тебе нужно выдавать DNS суффикс твоим компам. И создать в DNS A запись wpad.имя_DNS_суффикса

На этом сервере поднять web сервер и на нём разместить файл wpad.dat

function FindProxyForURL(url, host) {
 
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
    return "PROXY IP_ADDRES_PROXY:3128";
 
}

В настройках прокси в Windows включаешь авто настройку.

Аналогично можешь включить и в Linux.

infomeh ★★
()

У тебя нет вариантов найти рабочее решение в мире СПО, здесь одни костыли. Можешь использовать https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx если твоя сеть небольшого размера, но самое правильное будет купить специализированный софт, например Fortigate VM. И не пробуй сделать это на СПО, это тупик.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.