Отзовитесь спецы! Нужна помощь по pfsense+squid
-
облазил интернет и так и не нашел конкретного, однозначного решения.
Как известно Сквид не проксирует https трафик. Для меня необходимо использовать прозрачный режим прокси - что бы не настраивать на клиенте сетевые параметры. А мне нужно ограничивать трафик https как и http. То есть пользователь с IP 10.55.0.111 может входить только на сайт Госуслуг (gosuslugi.ru) и никуда больше - а там и http и https.И получается ерунда полная: в файрволе разрешить 443 порт для IP адреса или подсети - это совсем не вариант для меня. Я наметил 2 решения - по ним и нужна ваша помощь. К тому же у меня необходим Captive Portal.
1. Перевести прокси из прозрачного режима в обычный, в котором https работает. В файрволе настроить переназначение портов 80 и 443 из локальной сети на LAN карту pfsense. То есть так: "Локальная сеть, порты 80, 443"-> перенаправляются на 3128.
ЭТО БУДЕТ РАБОТАТЬ?
2. Пусть прокси работает в прозрачном режиме. Перенаправлять 443 порт на порт 3128 прокси. А это будет работать?Помогите, голову сломал уже. Как быть. Должен быть Captive Portal, на клиенте нельзя менять настройки браузеров (можно, но это самый крайний случай), обязательно нужно ограничивать https трафик.
-
Как известно Сквид не проксирует https трафик. Для меня необходимо использовать прозрачный режим прокси - что бы не настраивать на клиенте сетевые параметры. А мне нужно ограничивать трафик https как и http. То есть пользователь с IP 10.55.0.111 может входить только на сайт Госуслуг (gosuslugi.ru) и никуда больше - а там и http и https
1. Оставите прозрачный режим, а правилами разрешите трафик HTTPS только на госуслуги.
2. Убрать прозрачный режим и использовать WPAD для перенаправления клиентов на прокси, а прямое хождение по HTTP / HTTPS запретить. В этом случае у клиентов в браузерах должна стоять галка автоопределения прокси-сервера -
Как известно Сквид не проксирует https трафик. Для меня необходимо использовать прозрачный режим прокси - что бы не настраивать на клиенте сетевые параметры. А мне нужно ограничивать трафик https как и http. То есть пользователь с IP 10.55.0.111 может входить только на сайт Госуслуг (gosuslugi.ru) и никуда больше - а там и http и https
"проксирует" забавная фраза, ему вроде без разницы он и сокс обработает.
другое дело что в прозрачном режиме он перехватывает только запросы на 80 порт -
Спасибо за ваши отзывы. Вопрос пока не решен. У меня около 100 пользователей. Правилами файрвола разграничивать https не выйдет
-
Спасибо за ваши отзывы. Вопрос пока не решен. У меня около 100 пользователей. Правилами файрвола разграничивать https не выйдет
Думаю автоконфигурация все запросы браузера загонит в прокси
http://squid.h12.ru/FAQ/FAQ-5.html -
Спасибо, а как быть с программами? Там WPAD не пройдет.
-
с программами или настройками в них или рулесами, но муторно
-
проксификаторы используй и вообще ничего настраивать не надо
-
ему тогда надо по 100 тачкам их поставит и настроить ;)
-
Спасибо, а как быть с программами? Там WPAD не пройдет.
Думаю никак. Прозрачного HTTPS прокси не существует в принципе по причине шифрованного трафика
-
-
ему тогда надо по 100 тачкам их поставит и настроить ;)
один проксификатор настроить один раз а потом можно просто копировать.
Это как бы проще чем во всех прогах указывать прокси