Sugerencia para activar / desactivar proxy en equipos cliente



  • Que tal , buen dia a todos en el foro.

    Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien.  Ahora bien, como no todo es perfecto, en la oficina tenemos equipos laptop que se mueven a otra red de un modem independiente y ahi es donde me cae el problema, ya que hay que estar desactivando el proxy de manera manual para que tengan salida a internet en esa red.

    Bueno me recomendaron que configurara el squid en modo transparente, cosa que no me llama mucho la atención por los problemas del certificado para interceptar conexiones ssl.

    Tengo 2 soluciones, la primera es tengo un pequeño programa que lo corres y le activas y desactivas el proxy global, el problema es que los usuarios de esas equipos son muy flojos y se les olvida que hay que estar corriendo el programa y se la pasan quejandose que les molesta hacer eso, que si no puede ser automático, etc…

    La otra solución que tengo es un archivo .pac en el disco duro de los equipos moviles que ya hice la prueba con firefox y si funciona perfectamente, el problema es con internet explorer y chrome, ya que no respeta el código, es más ni siquiera lo toma en cuenta.

    Que otra opción me sugieren hacer para resolver este problemita?  :-\

    Gracias



  • Alguna sugerencia?  :o



  • Hola

    ¿Puedes postear tu proxy.pac / wpad.dat / wpad .da?

    Eses fichero es una función en javascript que indica al navegador del cliente si debe ir directo o vía proxy, se puede implementar para que según la red desde donde se haga la petición vaya DIRECT o PROXY fqdn-orIP:Port

    Un ejemplo

    function FindProxyForURL(url, host) {
    //proxy  10.168.0.254:3028;
    //Hay que Declarar un host override en unbound para wpad.localdomain.local <–> 10.168.0.254
    var wpad = "PROXY wpad.localdomain.local:3028";
    host = host.toLowerCase();
    var hostIP = dnsResolve(host);
    if (hostIP == 0) return wpad;
    if (isPlainHostName(host)) return "DIRECT";
    if (shExpMatch(host, ".local")) return "DIRECT";
    //mi dominio localdomain.local;
    if (shExpMatch(host, ".localdomain.local")) return "DIRECT";
    //redes privadas;
    if (isInNet(dnsResolve(host), "127.0.0.0", "255.0.0.0")) return "DIRECT";
    if (isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0")) return "DIRECT";
    if (isInNet(dnsResolve(host), "10.0.0.0", "255.255.0.0")) return "DIRECT";
    if (isInNet(dnsResolve(host), "10.0.0.0", "255.255.255.0")) return "DIRECT";
    //mi red privada;
    if (isInNet(dnsResolve(host), "10.168.0.0", "255.255.255.0")) return "DIRECT";
    //end mi red privada;
    if (isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0")) return "DIRECT";
    if (isInNet(dnsResolve(host), "192.168.0.0", "255.255.255.0")) return "DIRECT";
    if (isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0")) return "DIRECT";
    if (shExpMatch(host, "fe80::")) return "DIRECT";
    if (shExpMatch(url, "http:
    ")) return wpad;
    if (shExpMatch(url, "https:*")) return wpad;
    return wpad;
    }

    Salu2



  • Hola

    Ese ejemplo no resuelve tu caso.

    Deberás usar algo, en tu proxy.pac/wpad.dat/wpad,da, como :

    if (isInNet(myIpAddress(), "10.10.1.0", "255.255.255.0")) return "DIRECT";

    Sí  la ip del cliente está en la Red 10.10.1.0/24 que vaya directo o sin proxy.

    Salu2



  • Gracias por responder @javcasta Te pongo el código de mi archivo .pac

    function FindProxyForURL(url, host)
    
    {
    
    if (isInNet(myIpAddress(), "10.20.5.5", "255.255.0.0"))
    
    return "PROXY 10.20.0.1:3128";
    
    else
    
    return "DIRECT";
    
    }
    

    El problema es que firefox si trabaja bien con este código, windows 7 no hace caso del archivo .pac y no navega entonces es un relajo.  Por cierto, gracias por tu ayuda!



  • Hola

    Eso debe ser que el W7 mantiene en caché el proxy.pac

    yo probaria a, purgar tabla de arp, vaciar cache de dns y volver a registrar dns, y renovar ip

    arp -d *
    ipconfig /flushdns
    ipconfig /registerdns
    ipconfig /release
    ipconfig /renew
    

    Y puede que aplicar lo que cuentan en:
    How to disable automatic proxy caching in Internet Explorer

    https://support.microsoft.com/en-us/kb/271361

    Salu2



  • Gracias por el apoyo @javcasta  voy a checar lo que sugieres y posteo resultados.  Probablemente sea hasta mañana ya que no tengo equipo en la red para probar los cambios.

    Saludos



  • Buen día

    Si tienes un controlador de dominio  active directory con servicio de GPO, puedes crear una politica que agregue el proxy en el navegador automáticamente, o puedes usar wpad.



  • @Aleximper:

    Buen día

    Si tienes un controlador de dominio  active directory con servicio de GPO, puedes crear una politica que agregue el proxy en el navegador automáticamente, o puedes usar wpad.

    Hola buenas,yo justamente estoy en ese tema,tengo un active directory y hoy mismo le instale y configure squid + squidguard,mi problema radica en que los usuarios pueden cambiar la configuración del proxy en los navegadores,como puedo hacer para que no puedan cambiar la configuracion (para que quede deshabilitada la opcion)desde ya gracias,saludos.



  • Buen día

    Con las GPO, pero también deberás impedir con GPO que instalen mozilla y ningún navegador diferente a Chrome.


Log in to reply