Proxy Transparente

1. Proxy Transparente

Adriano Custodio
brekler

(usa CentOS)

Enviado em 01/03/2016 - 10:24h

Pessoal...
Tirem uma dúvida ou me deem opiniões se possível
Atualmente tenho um cenário com 5 máquinas que são separadas da empresa com outra internet até só para funcionários dar aquela brincada na net.
Tenho lá rodando um server Centos7 com DHCP, iptables e squid.
No squid eu fiz uma autenticação com um BD que eu tenho todos os usuarios e senhas dos usuários. Até ai tudo normal. O detalhe que a diretoria quer colocar uma wifi pro povo.
Problema é... como autenticar o proxy em celulares ? config manual é buxa. Ai pesquisei e vi que a maioria utiliza 802.1x ou hotspot (faculdade daqui) e utilizam proxy transparente só pra ter um log (só de páginas http).
Alguém tem ideia se consigo pegar log de acesso de paginas https com proxy transparente ? se já existe algum método ?
Sei que o transparente só pode http, mas minha preocupação é ter log de acesso.
Se eu conseguir fazer um link do IP com site já ta tudo certo, pq dai eu olho no radius quem pegou o IP.

Ou alguém tem uma ideia melhor pra esse cenário ?
Preciso colocar uma wifi, com autenticação (802.1x, hotspot, proxy, tanto faz) e de preferencia ter logs de sites.


  


2. Re: Proxy Transparente

Buckminster
Buckminster

(usa Debian)

Enviado em 01/03/2016 - 12:16h

Squid autenticado e com WPAD pelo DHCP (ou pelo DNS mesmo).


3. Re: Proxy Transparente

Bruno Thomaz
SarusKant

(usa CentOS)

Enviado em 01/03/2016 - 12:34h

Utilize Mikrotik para o hotspot e freeradius para auth, faça com que o gateway desse hotspot seja seu servidor proxy, sendo assim terá todo tratamento necessário em seu servidor, lembrando que https, seu squid tem que suportar bump.
Mais duvidas, me add no Skype.

Saruskant

--
Bruno Thomaz


4. Re: Proxy Transparente

Adriano Custodio
brekler

(usa CentOS)

Enviado em 01/03/2016 - 13:09h

Buckminster escreveu:

Squid autenticado e com WPAD pelo DHCP (ou pelo DNS mesmo).


Então, pensei nisso.
Ele vai passar pro celular normal ? 99,999% das conexões será com celular. Meu medo é ele não pedir autenticação.
Se liga nas minhas configs de WPAD pra ver se esta certa (não testei ainda).
dhcpd.conf
option wpad code 252 = text;
option wpad "http://10.0.0.1:500/wpad.dat\n";


wpad.dat
function FindProxyForURL(url, host) {
if(isPlainHostName(host))
return "DIRECT";
else
return "PROXY 10.0.0.1:3128";
}






5. WAPD

Fabio Fischer
ffischer

(usa Red Hat)

Enviado em 03/03/2016 - 15:28h

Pessoal estou com um problema parecido.
O pessoal montou uma rede wifi aqui e queria colocar proxy para filtrar os acessos, mas não queriam configurar manualmente o proxy nos smartfones.
Hj eu tenho um wpad rodando pra minha rede corporativa normalmente, joguei ele tb pra essa rede wifi e só os notebooks pegaram o wpad, os celulares não.
Uma observação, nos navegadores dos notebooks temos que marcar a opção "detectar automaticamente as configurações" no navegador do celular não temos essa opção, ou temos, tem alguma outra forma dele "puxar" o wpad?

Obrigado desde já!
Fábio


6. Re: Proxy Transparente

Buckminster
Buckminster

(usa Debian)

Enviado em 03/03/2016 - 15:49h

ffischer escreveu:

Pessoal estou com um problema parecido.
O pessoal montou uma rede wifi aqui e queria colocar proxy para filtrar os acessos, mas não queriam configurar manualmente o proxy nos smartfones.
Hj eu tenho um wpad rodando pra minha rede corporativa normalmente, joguei ele tb pra essa rede wifi e só os notebooks pegaram o wpad, os celulares não.
Uma observação, nos navegadores dos notebooks temos que marcar a opção "detectar automaticamente as configurações" no navegador do celular não temos essa opção, ou temos, tem alguma outra forma dele "puxar" o wpad?

Obrigado desde já!
Fábio


O wpad é um serviço que entrega informação mas não remove acesso ou cria regras.
O wpad é uma configuração que o cliente tem que saber puxar. Se os seus tablets ignoram esta informação, ele vai bater nas regras do firewall.

Para os notebooks e celulares aconselho uma rede separada com um proxy transparente ou se não tiver disponibilidade de máquina, crie uma rede sem fio aberta ou com senha pública em um roteador sem fio e bloqueie no firewall e no Squid o que você quiser bloquear para essa rede.

E cadastre os notebooks que você puder cadastrar pelo mac, os outros você coloca na rede aberta ou com senha pública.


7. WPAD

Fabio Fischer
ffischer

(usa Red Hat)

Enviado em 03/03/2016 - 15:56h

Buck mas é exatamente esse o meu ponto aqui, o único empecilho de colocar o wpad pra rede sem fio é que os celulares não puxam a configuração do wpad, não adianta termos um proxy separado para a rede sem fio (que seria o caso já que preparei uma máquina com proxy transparente e squidGuard pra isso) se os celulares, que são mais de 50% dos acessos a rede não pegam a configuração de proxy através do wpad.
Essa era a minha grande dúvida, se tinha alguma forma de fazer com que os mobiles "puxassem" a configuração de wpad para navegar através do proxy, to a tempos procurando isso e não acho uma forma.


8. Re: Proxy Transparente

Buckminster
Buckminster

(usa Debian)

Enviado em 03/03/2016 - 16:27h

ffischer escreveu:

Buck mas é exatamente esse o meu ponto aqui, o único empecilho de colocar o wpad pra rede sem fio é que os celulares não puxam a configuração do wpad, não adianta termos um proxy separado para a rede sem fio (que seria o caso já que preparei uma máquina com proxy transparente e squidGuard pra isso) se os celulares, que são mais de 50% dos acessos a rede não pegam a configuração de proxy através do wpad.
Essa era a minha grande dúvida, se tinha alguma forma de fazer com que os mobiles "puxassem" a configuração de wpad para navegar através do proxy, to a tempos procurando isso e não acho uma forma.


É só tu criar uma subnet no DHCP e colocar o proxy transparente para esta rede em separado.
Acredito que assim fica até mais seguro tendo em vista que os acessos por dispositivos mobiles são grande.
Aqui a rede é assim, na com fio o MAC é amarrado ao IP no DHCP e tem proxy com WPAD e é separada da rede sem fio que tem proxy transparente.


9. WPAD

Fabio Fischer
ffischer

(usa Red Hat)

Enviado em 03/03/2016 - 16:33h

Já está separado o DHCP e tudo mais, toda a rede está separada, meu problema é só um, o dispositivo mobile não pega o wpad.

Se vc tiver com um tempo pra me ajudar me adiciona no skype pra eu poder te passar melhor a situação:

ffischerb (Fábio Fischer)



10. Re: Proxy Transparente





Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts