WPAD solo funciona en cliente con sufijo de dominio
-
Hola a todos.
He conseguido que me funcione wpad, pero solo si en las opciones avanzadas de mis clientes windows configuro el sufijo de dominio, es decir, mi servidor se llama "proxy.dominio.local", el host overrides para wpad es "wpad.dominio.local" y en mi cliente windows el sufijo "dominio.local".
Decir que mis equipos estan en una red de trabajo (no dominio) y simplemente uso proxy para navegar y bloquear paginas web.
Es posible evitar esto? En todos los tutoriales que he encontrado no se habla de esto salvo por un comentario en un post de Bellera.Gracias.
-
Mi consejo, usa proxy trasparente para que no tengas que configurar eso a mano...
-
La idea de usar modo no transparente es para poder filtrar todo. En modo no transparente no es posible que yo sepa.
Gracias. -
@jperezme por eso te sugiero trasparente, por qué filtra http y HTTPS
-
Me expliqué mal. Queria decir que con proxy no transparente puedes controlar accesos SSL, mientras que si es transparente pierdes ese control. Creo que estoy en lo cierto, ¿no?
Gracias de nuevo. -
Estas equivocando desde la version de squid 3 hacia arriba puedes controlar todo lo que este en https que use diferente puerto en este caso usando ssl
-
Te refieres a la configuración de certificado en los clientes?
-
Despues de mucho trabajo por la gente de squid y pfsense, ahora se puede implementar un proxy transparente que filtra http y https, que se pueden usar acl que filtran paginas https y que lo mas importante no es nesecario instalar ningun certificado en los equipos clientes, es totalmente tranparente para un equipos cliente
-
Que maravilla. Lo desconocía por completo. Solo veo post y más post hablando de la implementación con wpad en modo no transparente para poder filtrar todo. Dónde puedo encontrar más información al respecto?. Muchísimas gracias
-
un poco de Ingles
https://www.youtube.com/watch?v=xm_wEezrWf4
Me avisas si nesecitas ayuda
-
He estado echando un vistazo al video y si que por lo yo entiendo es necesario crear unos CA y luego exportarlos para instalarlos en los navegadores de las maquinas cliente.
:- -
@jperezme se crea el certificado para el proxy pero no tienes que exporta ni instalar en los clientes
-
Vale ya he visto que en la configuracion SSL de Squid hay que utilizar la opcion SSL/MITM mode -> Splice all.
De esta forma no es necesario instalar nada en los clientes. De todas formas no entiendo muy bien la ultima frase que dice:
"Content filtering (such as Antivirus) will not be available for SSL sites."Splice All:
This configuration is suitable if you want to use the SquidGuard package for web filtering.
All destinations will be spliced. SquidGuard can do its job of denying or allowing destinations according its rules, as it does with HTTP.
You do not need to install the CA certificate configured below on clients.
Content filtering (such as Antivirus) will not be available for SSL sites. -
Lo del antivirus está una integración con icap y clamv antivirus para filtral el contenido web de Virus y contenidos
-
Ok.
Sigo de nuevo haciendo pruebas y me encuentro con lo siguiente.
En una de mis redes tengo un equipo sirviendo teamviewer. Este conecta por defecto a traves del puerto 443 y 80. He observado que si activo SSL intercepting en el interface correspondiente a la red donde esta el equipo entonces no conecta, ni siquiera metiendo a mano el proxy en el teamviewer (ip y puerto 3128). Estas son las reglas de esta red :
-
Que acl tienes en el squid guard
-
Basicamente estas:
-
Deshabilitar la opción no dont allow IP , el de la primera captura y prueba
-
Deshabilitarlo no lo soluciona.
Si habilito en la red que esta el teamviewer (lo he puesto en otra) el puerto 5938 y configuro el proxy a mano en teamviewer si que va.
Sin embargo lo extraño es que antes de habilitar la interceptacion ssl funcionaba sin configurar nada.
-
@jperezme Video de Proxy Transparente a ver si te sirve, saludos.
