Messages

1

General Discussion / Opensense (Squid) with only one interface

« on: February 29, 2020, 06:10:54 pm »

Good day!
I need a proxy in this scheme:



First I had to disable DNS Rebinding check because I was getting messages

A potential DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname

But now I'm facing a different problem. The browser on a computer with an address from the network 192.168.0.0/ 24 is configured for the proxy 192.168.10.71:80 (this is the OpenSense address in another subnet). When I request pages on the Internet, I get a request to log in to the OpenSense instead of going to the desired site. Although nslookup on the host correctly determines the IP address of the site.

Settings:

System: Settings: General:
DNS servers - DNS Server (8.8.8.8 )
Use gateway - 192.168.10.1

Services: Dnsmasq DNS: Settings
- DNS Query Forwarding (v)  - Query DNS servers sequentially

As far as I understand I need to specify somewhere where to redirect the request but where is this indicated??

2

Russian - Русский / Re: Прокси-сервер с одним интерфейсом

« on: February 29, 2020, 04:08:19 pm »

Может, надо назначить сети с прокси какой-нибудь адрес не из частного диапазона? Но это же костыль!?

3

Russian - Русский / Прокси-сервер с одним интерфейсом

« on: February 29, 2020, 03:07:53 pm »

Приветствую!
 В организации есть пограничный маршрутизатор (микротик RB1100), и хотя в нем есть некое подобие web-proxy , это решение очень ограниченное и работает только по http. Понятно, что основной трафик сейчас идет шифрованный TLS/SSL. Я сторонник распределения функций, и для ведения логов серфинга пользователей (это требование руководства, как минимум), а также ограничения доступа необходимо внедрить отдельный прокси, плюс антивирус.

Пока остановился на готовом решении в виде opensense. Так как он не реализует функцию межсетевого экрана и от него мне требуется только web proxy squid, оставил у него только один интерфейс.

Сначала располагался в той же подсети. Режим работы - с аутентификацией (т.е. не транспарентный). После указания в браузере прокси, внутренний клиент из LAN не лезет в инет.

Сделал на роутере еще один интерфейс 192.168.10.1 , а у opensense указал адрес 192.168.10.71, дефолтный адрес - 192.168.10.1

Схема включения такая



Настройки web proxy Вкладка Forwars Proxy Proxy interfaces - LAN Proxy port 3128 SSL Proxy port 3129 [в доке написано: A Proxy which is used by a client to connect to the internet. It is usually used in companies to scan traffic for malware., по-умолчанию здесь 3128]. У клиентов в браузере оставил 80

Вкладка Proxy Auto-config - не заполнял, а потом заполнил: Proxies -> HTTP Proxy   192.168.10.1, все одно, без разницы

В итоге в браузере при запросе страницы по протоколу http получаю

A potential DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname.

по https

Не удается открыть эту страницу

Причем по всей видимости разрешение адресов производится - на хосте, хосте, который настроен на проксю:

nslookup ya.ru ╤хЁтхЁ: UnKnown Address: 192.168.10.1

Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 87.250.250.242

Т.е. адрес-то разрешается, но есть какой-то запрет в браузерах.