@tramvay

Прокси (squid) как контролировать трафик пользователей (когда все печально)?

Всем привет!
Вот имеем сеть на >150 компьютиров надо контролировать доступ к ресурсам (некоторым пользователям резать трафик к VK youtube и тд, каким то все разрешать и тд), также имеем squid на pfsens где все надо провернуть. Проблема в том что пользователи не в AD (точнее её вообще нет и небудет) и нет цинтрализированново управления, всем прописывать прокси в браузерах не очень веселое занятие (плюс еще некоторые с мобилок подключаются). Так вот транспарентный прокси как я понимаю может захватывать и понимать только http, но в https трафике url-ы тоже зашифрованы и тут получается что мы не можем нормально банить https ресурсы. MITM на проксе наверное создаст большую нагрузку и это тоже приведет к беганьем по машинам и прописыванием корневых сертификатов (что на мой взгляд не есть гуд). Вопрос собственно что делать? Ваши советы?
Может возможно както создать черные белые списки для разных групп ip и резолвер просто не будет разрешать url для некоторых сайтов в соответствии со списком?
  • Вопрос задан
  • 1740 просмотров
Пригласить эксперта
Ответы на вопрос 7
@mureevms
Подмену сертификата считаю недопустимым, поэтому подсказать не могу. И вам не советую так делать.
Баньте просто фаерволом, суть правила такая, что с нужного локального IP по порту 443 на vk.com запретить.
А 80 порт будет перенаправляться на прозрачный прокси и резаться\разрешаться на нем.
Или же полностью забанить vk.com по всем портам для нужных IP, если это необходимо.
Ответ написан
1nn0
@1nn0
Системный администратор\Фрилансер
Этот ответ просто концепт и мое ИМХО. И, к сожалению, охватывает только ПК пользователей.
Судя из описания ситуации и отсутствия желания\возможности поднять АД у ТС, предлагаю следующую идею:
1) Заворачиваем 80й порт на некую локальную страницу (да на том же пфсенс). 443 порт блочим для LAN.
2) На страничке выкладываем краткое описание почему юзер на этой странице, а не разглядывает котиков.
3) На этой же страничке размещаем ссылку на bat-ничек или ps-ничек в котором мы прописываем в систему наш прокси и инструкцию (Скачайте, запустите, смотрите на котиков)
4) ...
5) PROFIT!
Да, это колхоз. Да это не полное решение (мобильные устройства). Но у уважаемого ТСа 150машин без АД - колхоз еще тот, ИМХО. И если предположить, что это одна организация, ладно не буду дальше развивать тему, ситуации и оснащение бывают разные, как и начальство. Другое дело, если это шлюз для БЦ эконом класса, и 150 машин - это 20-30 фирм. Очевидно, что внедрять АД не имеет никакого смысла, но так же не имеет смысла и ограничивать юзеров в посещаемых ими ресурсах (максимум шейпер канала по фирмам), т.к. задача предоставлять доступ.
P.S.: Это не глум или стеб над вопросом. Просто идея максимально бюджетно по времени, и в то же время эффективно (читай - радикально), решения для данного вопроса.
Ответ написан
@dvserg
Простого решения нет. Посмотрите в гугле на CaptivePortal + Squid.
Ответ написан
gbg
@gbg
Баянист. Тамада. Услуги.
Подумайте о развертывании AD. Когда компьютеров больше 10 или помещений с ними больше двух - его использование существенно упрощает работу. По крайней мере, раздать сертификаты через политики проще, чем пробежать 150 машин.
Ответ написан
@LiguidCool
Делаете 2 прокса - прозрачный с минимумом сайтов и по логину с полным доступом.
Ответ написан
@Drno
Я делал вручную, вот по этому мануалу. Прозрачный прокси с https.
А в настройках Squid - уже блокируйте как хотите
https://habr.com/ru/post/267851/

Вот обновленная версия
https://habr.com/ru/post/354708/
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы