International Forums > Russian - Русский

Прокси-сервер с одним интерфейсом

(1/1)

Chai:
Приветствую!
 В организации есть пограничный маршрутизатор (микротик RB1100), и хотя в нем есть некое подобие web-proxy , это решение очень ограниченное и работает только по http. Понятно, что основной трафик сейчас идет шифрованный TLS/SSL. Я сторонник распределения функций, и для ведения логов серфинга пользователей (это требование руководства, как минимум), а также ограничения доступа необходимо внедрить отдельный прокси, плюс антивирус.

Пока остановился на готовом решении в виде opensense. Так как он не реализует функцию межсетевого экрана и от него мне требуется только web proxy squid, оставил у него только один интерфейс.

Сначала располагался в той же подсети. Режим работы - с аутентификацией (т.е. не транспарентный). После указания в браузере прокси, внутренний клиент из LAN не лезет в инет.

Сделал на роутере еще один интерфейс 192.168.10.1 , а у opensense указал адрес 192.168.10.71, дефолтный адрес - 192.168.10.1

Схема включения такая



Настройки web proxy Вкладка Forwars Proxy Proxy interfaces - LAN Proxy port 3128 SSL Proxy port 3129 [в доке написано: A Proxy which is used by a client to connect to the internet. It is usually used in companies to scan traffic for malware., по-умолчанию здесь 3128]. У клиентов в браузере оставил 80

Вкладка Proxy Auto-config - не заполнял, а потом заполнил: Proxies -> HTTP Proxy   192.168.10.1, все одно, без разницы

В итоге в браузере при запросе страницы по протоколу http получаю


--- Quote ---A potential DNS Rebind attack has been detected. Try to access the router by IP address instead of by hostname.
--- End quote ---

по https

--- Quote ---Не удается открыть эту страницу
--- End quote ---

Причем по всей видимости разрешение адресов производится - на хосте, хосте, который настроен на проксю:


--- Quote ---nslookup ya.ru ╤хЁтхЁ: UnKnown Address: 192.168.10.1

Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 2a02:6b8::2:242 87.250.250.242
--- End quote ---

Т.е. адрес-то разрешается, но есть какой-то запрет в браузерах.

Chai:
Может, надо назначить сети с прокси какой-нибудь адрес не из частного диапазона? Но это же костыль!?

maxim_al:
1. ставить OPNSense лучше на проходе, а не сбоку микротика. А Микротик выкинуть  ;) - зачем 2 железки с одним функционалом?
2. адресация в схеме в теории верна, единственное, почему в адресе клиента HTTP Proxy   192.168.10.1? Когда ему выдан "у opensense указал адрес 192.168.10.71"?

PS какую роль будет выполнять прокси? - Учёт кто куда ходит и сколько качает?

Navigation

[0] Message Index