Прокси-сервер с одним интерфейсом

Started by Chai, February 29, 2020, 03:07:53 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 29, 2020, 03:07:53 PM Last Edit: February 29, 2020, 03:09:40 PM by Chai
Приветствую!
В организации есть пограничный маршрутизатор (микротик RB1100), и хотя в нем есть некое подобие web-proxy , это решение очень ограниченное и работает только по http. Понятно, что основной трафик сейчас идет шифрованный TLS/SSL. Я сторонник распределения функций, и для ведения логов серфинга пользователей (это требование руководства, как минимум), а также ограничения доступа необходимо внедрить отдельный прокси, плюс антивирус.

Пока остановился на готовом решении в виде opensense. Так как он не реализует функцию межсетевого экрана и от него мне требуется только web proxy squid, оставил у него только один интерфейс.

Сначала располагался в той же подсети. Режим работы - с аутентификацией (т.е. не транспарентный). После указания в браузере прокси, внутренний клиент из LAN не лезет в инет.

Сделал на роутере еще один интерфейс 192.168.10.1 , а у opensense указал адрес 192.168.10.71, дефолтный адрес - 192.168.10.1

Схема включения такая



Настройки web proxy Вкладка Forwars Proxy Proxy interfaces - LAN Proxy port 3128 SSL Proxy port 3129 [в доке написано: A Proxy which is used by a client to connect to the internet. It is usually used in companies to scan traffic for malware., по-умолчанию здесь 3128]. У клиентов в браузере оставил 80

Вкладка Proxy Auto-config - не заполнял, а потом заполнил: Proxies -> HTTP Proxy   192.168.10.1, все одно, без разницы

В итоге в браузере при запросе страницы по протоколу http получаю

QuoteA potential DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname.

по https
QuoteНе удается открыть эту страницу

Причем по всей видимости разрешение адресов производится - на хосте, хосте, который настроен на проксю:

Quotenslookup ya.ru ╤хЁтхЁ: UnKnown Address: 192.168.10.1

Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 87.250.250.242

Т.е. адрес-то разрешается, но есть какой-то запрет в браузерах.
February 29, 2020, 04:08:19 PM #1
Может, надо назначить сети с прокси какой-нибудь адрес не из частного диапазона? Но это же костыль!?
March 04, 2020, 06:19:52 AM #2
1. ставить OPNSense лучше на проходе, а не сбоку микротика. А Микротик выкинуть  ;) - зачем 2 железки с одним функционалом?
2. адресация в схеме в теории верна, единственное, почему в адресе клиента HTTP Proxy   192.168.10.1? Когда ему выдан "у opensense указал адрес 192.168.10.71"?

PS какую роль будет выполнять прокси? - Учёт кто куда ходит и сколько качает?
Print
Go Up Pages1
User actions