Sugerencia para activar / desactivar proxy en equipos cliente

pozolero · May 30, 2016, 3:07 PM

Que tal , buen dia a todos en el foro.

Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien. Ahora bien, como no todo es perfecto, en la oficina tenemos equipos laptop que se mueven a otra red de un modem independiente y ahi es donde me cae el problema, ya que hay que estar desactivando el proxy de manera manual para que tengan salida a internet en esa red.

Bueno me recomendaron que configurara el squid en modo transparente, cosa que no me llama mucho la atención por los problemas del certificado para interceptar conexiones ssl.

Tengo 2 soluciones, la primera es tengo un pequeño programa que lo corres y le activas y desactivas el proxy global, el problema es que los usuarios de esas equipos son muy flojos y se les olvida que hay que estar corriendo el programa y se la pasan quejandose que les molesta hacer eso, que si no puede ser automático, etc…

La otra solución que tengo es un archivo .pac en el disco duro de los equipos moviles que ya hice la prueba con firefox y si funciona perfectamente, el problema es con internet explorer y chrome, ya que no respeta el código, es más ni siquiera lo toma en cuenta.

Que otra opción me sugieren hacer para resolver este problemita? :-\

Gracias

pozolero · May 30, 2016, 4:39 PM

Alguna sugerencia? :o

javcasta · May 30, 2016, 5:02 PM

Hola

¿Puedes postear tu proxy.pac / wpad.dat / wpad .da?

Eses fichero es una función en javascript que indica al navegador del cliente si debe ir directo o vía proxy, se puede implementar para que según la red desde donde se haga la petición vaya DIRECT o PROXY fqdn-orIP:Port

Un ejemplo

function FindProxyForURL(url, host) {
//proxy 10.168.0.254:3028;
//Hay que Declarar un host override en unbound para wpad.localdomain.local <–> 10.168.0.254
var wpad = "PROXY wpad.localdomain.local:3028";
host = host.toLowerCase();
var hostIP = dnsResolve(host);
if (hostIP == 0) return wpad;
if (isPlainHostName(host)) return "DIRECT";
if (shExpMatch(host, ".local")) return "DIRECT";
//mi dominio localdomain.local;
if (shExpMatch(host, ".localdomain.local")) return "DIRECT";
//redes privadas;
if (isInNet(dnsResolve(host), "127.0.0.0", "255.0.0.0")) return "DIRECT";
if (isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0")) return "DIRECT";
if (isInNet(dnsResolve(host), "10.0.0.0", "255.255.0.0")) return "DIRECT";
if (isInNet(dnsResolve(host), "10.0.0.0", "255.255.255.0")) return "DIRECT";
//mi red privada;
if (isInNet(dnsResolve(host), "10.168.0.0", "255.255.255.0")) return "DIRECT";
//end mi red privada;
if (isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0")) return "DIRECT";
if (isInNet(dnsResolve(host), "192.168.0.0", "255.255.255.0")) return "DIRECT";
if (isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0")) return "DIRECT";
if (shExpMatch(host, "fe80::")) return "DIRECT";
if (shExpMatch(url, "http:")) return wpad;
if (shExpMatch(url, "https:*")) return wpad;
return wpad;
}

Salu2

javcasta · May 30, 2016, 7:53 PM

Hola

Ese ejemplo no resuelve tu caso.

Deberás usar algo, en tu proxy.pac/wpad.dat/wpad,da, como :

if (isInNet(myIpAddress(), "10.10.1.0", "255.255.255.0")) return "DIRECT";

Sí la ip del cliente está en la Red 10.10.1.0/24 que vaya directo o sin proxy.

Salu2

pozolero · May 30, 2016, 8:54 PM

Gracias por responder @javcasta Te pongo el código de mi archivo .pac

function FindProxyForURL(url, host)

{

if (isInNet(myIpAddress(), "10.20.5.5", "255.255.0.0"))

return "PROXY 10.20.0.1:3128";

else

return "DIRECT";

}

El problema es que firefox si trabaja bien con este código, windows 7 no hace caso del archivo .pac y no navega entonces es un relajo. Por cierto, gracias por tu ayuda!

javcasta · May 30, 2016, 9:04 PM

Hola

Eso debe ser que el W7 mantiene en caché el proxy.pac

yo probaria a, purgar tabla de arp, vaciar cache de dns y volver a registrar dns, y renovar ip

arp -d *
ipconfig /flushdns
ipconfig /registerdns
ipconfig /release
ipconfig /renew

Y puede que aplicar lo que cuentan en:
How to disable automatic proxy caching in Internet Explorer

https://support.microsoft.com/en-us/kb/271361

Salu2

pozolero · May 30, 2016, 9:23 PM

Gracias por el apoyo @javcasta voy a checar lo que sugieres y posteo resultados. Probablemente sea hasta mañana ya que no tengo equipo en la red para probar los cambios.

Saludos

Aleximper · Jun 1, 2016, 7:24 PM

Buen día

Si tienes un controlador de dominio active directory con servicio de GPO, puedes crear una politica que agregue el proxy en el navegador automáticamente, o puedes usar wpad.

nico_2771 · Jun 4, 2016, 2:33 AM

@Aleximper:

Buen día

Si tienes un controlador de dominio active directory con servicio de GPO, puedes crear una politica que agregue el proxy en el navegador automáticamente, o puedes usar wpad.

Hola buenas,yo justamente estoy en ese tema,tengo un active directory y hoy mismo le instale y configure squid + squidguard,mi problema radica en que los usuarios pueden cambiar la configuración del proxy en los navegadores,como puedo hacer para que no puedan cambiar la configuracion (para que quede deshabilitada la opcion)desde ya gracias,saludos.

Aleximper · Jun 7, 2016, 3:07 PM

Buen día

Con las GPO, pero también deberás impedir con GPO que instalen mozilla y ningún navegador diferente a Chrome.