Отзовитесь спецы! Нужна помощь по pfsense+squid



  • облазил интернет и так и не нашел конкретного, однозначного решения.
    Как известно Сквид не проксирует https трафик. Для меня необходимо использовать прозрачный режим прокси - что бы не настраивать на клиенте сетевые параметры. А мне нужно ограничивать трафик https как и http. То есть пользователь с IP 10.55.0.111 может входить только на сайт Госуслуг (gosuslugi.ru) и никуда больше - а там и http и https.

    И получается ерунда полная: в файрволе разрешить 443 порт для IP адреса или подсети - это совсем не вариант для меня. Я наметил 2 решения - по ним и нужна ваша помощь. К тому же у меня необходим Captive Portal.
    1. Перевести прокси из прозрачного режима в обычный, в котором https работает. В файрволе настроить переназначение портов 80 и 443 из локальной сети на LAN карту pfsense. То есть так: "Локальная сеть, порты 80, 443"-> перенаправляются на 3128.
    ЭТО БУДЕТ РАБОТАТЬ?
    2. Пусть прокси работает в прозрачном режиме. Перенаправлять 443 порт на порт 3128 прокси. А это будет работать?

    Помогите, голову сломал уже. Как быть. Должен быть Captive Portal, на клиенте нельзя менять настройки браузеров (можно, но это самый крайний случай), обязательно нужно ограничивать https трафик.



  • Как известно Сквид не проксирует https трафик. Для меня необходимо использовать прозрачный режим прокси - что бы не настраивать на клиенте сетевые параметры. А мне нужно ограничивать трафик https как и http. То есть пользователь с IP 10.55.0.111 может входить только на сайт Госуслуг (gosuslugi.ru) и никуда больше - а там и http и https

    1. Оставите прозрачный режим, а правилами разрешите трафик HTTPS только на госуслуги.
    2. Убрать прозрачный режим и использовать WPAD для перенаправления клиентов на прокси, а прямое хождение по HTTP / HTTPS запретить. В этом случае у клиентов в браузерах должна стоять галка автоопределения прокси-сервера



  • Как известно Сквид не проксирует https трафик. Для меня необходимо использовать прозрачный режим прокси - что бы не настраивать на клиенте сетевые параметры. А мне нужно ограничивать трафик https как и http. То есть пользователь с IP 10.55.0.111 может входить только на сайт Госуслуг (gosuslugi.ru) и никуда больше - а там и http и https

    "проксирует" забавная фраза, ему вроде без разницы он и сокс обработает.
    другое дело что в прозрачном режиме он перехватывает только запросы на 80 порт



  • Спасибо за ваши отзывы. Вопрос пока не решен. У меня около 100 пользователей. Правилами файрвола разграничивать https не выйдет



  • @roman01:

    Спасибо за ваши отзывы. Вопрос пока не решен. У меня около 100 пользователей. Правилами файрвола разграничивать https не выйдет

    Думаю автоконфигурация все запросы браузера загонит в прокси
    http://squid.h12.ru/FAQ/FAQ-5.html



  • Спасибо, а как быть с программами? Там WPAD не пройдет.



  • с программами или настройками в них или рулесами, но муторно



  • проксификаторы используй и вообще ничего настраивать не надо



  • ему тогда надо по 100 тачкам их поставит и настроить  ;)



  • @roman01:

    Спасибо, а как быть с программами? Там WPAD не пройдет.

    Думаю никак. Прозрачного HTTPS прокси не существует в принципе по причине шифрованного трафика



  • @forestman99:

    ему тогда надо по 100 тачкам их поставит и настроить  ;)

    ну один проксифИКАТОР



  • @forestman99:

    ему тогда надо по 100 тачкам их поставит и настроить  ;)

    один проксификатор настроить один раз а потом можно просто копировать.
    Это как бы проще чем во всех прогах указывать прокси


Log in to reply