Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » UNIX системы
Страницы: 1
RSS
SQUID, различия между прозрачным и прямым прокси
 
#1
Это нравится:0Да/0Нет
08.12.2011 13:16:19
Доброго здоровьица.
Значит есть прокси сервер сквид.
Используем его в домене Windows Server 2008, Авторизация NTLM, пользователи работают - статистика считается. Кто, куда, сколько, когда.

Теперь в одной компании, мне нужно настроить такой же прокси, но с одним условием - никаких настроек на клиентской машине не должно производится - это, как я понимаю, прозрачный прокси сервер.

Знаю, что при использовании прозрачного прокси сервера авторизации нет, так же можно проксировать только HTTP трафик, но HTTPS & FTP.
Теперь вопросы: Могу я получить статистику "кто, куда, сколько, когда" в этом случае? Если нет авторизации - эта статистика по IP компьютера будет?
Ещё нашёл: прозрачный прокси-сервер может определить адрес удалённого сервера, но не его имя. Это правда? Тогда статистика не будет содержать доменных имён???

Какая ещё есть разница между прямым прокси и прозрачным?

Спасибо.
Изменено: Алекс М - 08.12.2011 14:56:44
 
 
 
#2
Это нравится:0Да/0Нет
08.12.2011 14:43:20
Цитата
Какая ещё есть разница между прямым прокси и обратным?

Тут у Вас путаница в понтиях: есть "прямой", "прозрачный" и "обратный" прокси.

Вам надо вместо "прямого" поставить "прозрачный" с перенаправлением на него трафика с помощью правил фильтрации - да, при этом авторизации не будет, а будет только привязка к IP. Дальше, анализатор лога сквида, выдает статистику по именам серверов, которые запрашивал пользователь - никакой проблемы с разрешением имен там нет.

Вот так у меня выдает lightsquid статистику по пользователю:

# Accessed site Connect Bytes Cumulative %
1 ru.fishki.net 879 94.1 M 94.1 M 43.6%
2 ng-video.championat.ru 2 46.9 M 140.9 M 21.7%
3 file120.loadup.ru 3 9.3 M 150.2 M 4.3%
 
 
 
#3
Это нравится:0Да/0Нет
08.12.2011 14:56:29
да, я ошибся. не обратный, а прозрачный.
Цитата
Andrey Y. Ostanovsky пишет:
а будет только привязка к IP
в принципе, для небольшой компании - это не проблема.
Цитата
Andrey Y. Ostanovsky пишет:
с перенаправлением на него трафика с помощью правил фильтрации
осталось понять, как перенаправлять трафик на маршрутизаторе.
и не  могу понять. Если я создам правило - с адресов 192.168.0.100-150 запросы на 80 порт перенаправлять на прокси, то прокси не должен входить в этот пул. иначе его тоже перенаправит?
Цитата
Andrey Y. Ostanovsky пишет:
Вот так у меня
а можете дать посмотреть конфиг вашего сквида? Спасибо.
 
 
 
#4
Это нравится:0Да/0Нет
12.12.2011 12:17:04
Цитата
Алекс М пишет:
осталось понять, как перенаправлять трафик на маршрутизаторе. и не  могу понять. Если я создам правило - с адресов 192.168.0. 100-150  запросы на 80 порт перенаправлять на прокси, то прокси не должен входить в этот пул. иначе его тоже перенаправит?
Я не знаю, какой у Вас маршрутизатор, но общий смысл примерно одинаков для всех фильтров: " пакеты к порту 80, входящие на внутренний интерфейс, перенаправляем на транспарентный порт сквида". Собственные исходящие пакеты сквида под это правило попадать не должны.

Код
rdr pass on { $int_if1 $int_if2 $int_if3 $int_if4 } proto tcp from any to \
        !<internal> port 80 -> 127.0.0.1 port 3129


Цитата
Алекс М пишет:
а можете дать посмотреть конфиг вашего сквида? Спасибо.

Из конфигов сквида Вам нужны две вещи: включить где-то транспарентный порт
Код
# Squid normally listens to port 3128
http_port 127.0.0.1:3128
http_port 127.0.0.1:3129 transparent

, и разрешить свою внутреннюю сеть в acl-ах (в примерах оно есть acl our_networks src 192.168.1.0/24). После этого, если сквид стартовал и слушает транспарентный порт - будет работать, куда денется...
Изменено: Andrey Y. Ostanovsky - 12.12.2011 12:21:24
 
 
 
#5
Это нравится:0Да/0Нет
12.12.2011 14:35:38
Andrey Y. Ostanovsky,
я имел ввиду настройку ЛайтСквид. Я уже разобрался с именами вместо IP.
а вот оборудование у меня Juniper SSG 5. тему я уже создал - но пока тишина........
 
 
 
Страницы: 1
Читают тему