прозрачный прокси на win2003
 

есть небольшая сеть, в качетве шлюза 2003 винда. хочется поставить прозрачный прокси сервер,
пробовал ставить юзергад, но чего то не осилил. коробит меня на каждой машине, прописывь адрес прокси для каждого браузера
может конечно у меня руки кривые ...

но я б с удовольствием поставил бы сквид, под винды. но вот не пойму как в этих виндах ловить траффик, и перенаправлять его на 3128

(мне хочется что то установить и настроить только на серваке, и не хочется ходить по клиентам). буду рад любому совету и помощи

Если домен есть, то это делается через групповые политики.
А то можно подумать, если бы стоял сквид, то не надо было бы ставить или шлюз по умолчанию или проксю в браузере на всех.

А что мешает в проксе указать порт не 8080 а 3128? не вижу проблемы.

на фряхе я траф принудительно заворачиваю, и по клиентам не бегаю.
да и сквид мне кажется куда проще чем юзергейт :search:

я вас умоляю.

браузеры не только эксплорер.
И самое главное: НЕ ХОЧУ ходить по киентам

может что нить маршрутизацией замутить? или какие есть еще варианты? (кэшировать, блочить, ну может еще считать траф. и чтоб делать это только на серве)

farlow, ну хорошо, давайте по вашему:
сижу я на компе без шлюзов и настроек прокси по умолчанию.... Пишу в строке www.ya.ru.... Машина упорно пытается найти DNS и проверить это имя... Его нет... Смотрит, а наружу запрос не пускает DNS либо его вообще нет. Все мирно обламывается и host not found... ибо маршрутов никаких больше нет...
Ну извините, без беготни я описал - групповые политики домена + DHCP(в случае выставления шлюза)

хорошо, убедили.

на серве настроен DHCP, он сетвым картам говорит где днс, и шлюз. ДНС также стоит на серве

гп работают только для эксплорера

Delirium,

Вы не правы. Технология прозрачного прокси работает на транспортном уровне.
Единственное требование прозрачный прокси ставится на шлюзе по умолчанию, либо шлюз по умолчанию пересылает трафик на прозрачный прокси. Существует даже группа аппаратных кеширующих устройст такого плана.
Естественно, т. к. процес проистекает в тайне от клиента, об аутентификации можно забыть, максимум по MAC.


farlow,
SquidNT такими функциями не обладает.
Более того, если вы настраивали прозрачный прокси под BSD, то скорее всего использовали ipfw, т. е. "заворот" с 80 порта на 3128 осуществляется средствами ОС, а не прокси.

kim-aa, Вы правы, на фре трафи заворачивается посредством ipfw, вот как нить добится бы такого же результата под виндами

farlow,
Как добиться штатными средствами - не знаю
Более того, все комплексные фаерволы с ф-ей прокси+кэширование (которые я видел), вносят свои компоненты в стандартный сетевой слой Windows.
Отсюда возникает нехорошее подозрение, что стандартными средствами вы это не выполните, только установкой какого-либо комерческого продукта.

Кстати, скрипты автонастройки существуют не только для IE

какие предложения? чем пользоваться?

1) Сколько станций?
2) Сколько и какие браузеры используются?
3) Какие функции нужны (аутентификация в частности)?
4) Сколько денег?
5) Какие объемы?
6) Толщина канала?

у меня ISA 2004
на воркстанциях установленны клиенты ISЫ (думаю, они не только для ISЫ) - они автоматически браузер настраивают.

Гм. даже и не знаю. Трафик-Инспектор определяет тип броузера и сам подставляет скрипты автонастройки.
По крайней мере это верно для IE и Opera.

Однако, ИМХО, программа эта кривая и рекомендовать ее я не возьмусь.
===============

На старой работе у нас была достаточно большая и распределенная сеть, (порядка 1000 хостов).
IE брал настройки из доменных политик.
Для Opera и инных браузеров были созданы скрипты конфигурации.

В качестве сервера использовали Squid, но не в прозрачном, а Родном режиме, что было более удобно для привязки прав, балансировки и логов.
===============
В ISA я "чайник", так что извиняйте.

1. немногим более 10, но это пока
2. браузеры разные, мазила, опера, эксплорер, версии разные. так сказать у каждого свои предпочтения
3. кэширование, ограничение по направлениям (сайты, сети и т.д.), плюс желательно счетчик траффика, но не критично без него
4. думаю не актуально, хотя и не буду пропогандировать пиратство. бюджет в любом случае не должен превышать стоимость какого нить среднего системного блока, с настроенной фрибсд
5. не понял, но думаю не особо важно
6. 10 мбит

интернет счас раздается простым натом на шлюзе (вин 2003)

Я бы "разорил" контору на данный вариант Вряд ли вы найдете лучше по соотношению "цена-качество".
Заодно Windows 2003 под что-то более полезное высвободите.

Наиболее же ходовой "вариант", когда один сервер Windows 2003 используется и как файл-сервер, и как сервер приложений (1с) и как терминал-сервер ,и как сервер-печати, и как фаервол и как прокси, - считаю верхом глупости.

kim-aa, я наверно так и сделаю.
просто гдето год назад я поднимал сдесь подобную тему. я и тогда не осилил юзергад :biggrin: . и поставил фряху.
но все таки не ужели нету простых недорогих решений ))

Цитата:

Цитата kim-aa считаю верхом глупости »

не вверх - это + AD
это, а прозрачность это вообще как?

"Прозрачный прокси".
Фильтрует весь трафик по порту получателя, обычно это 80, 8080.
Заворачивает его на порт программы прокси-сервера.

По сути используются 2 компоненты:
- компонента шлюза, которая анализирует используемые транспорт/номер порта получателя (в нашем случае это http) и пересылает его куда либо, на какой-либо порт согласно правилам.
В ходовом случае (FreeBSD+ipfw+Squid) с заворот осуществляется на localhost:порт (где "порт" обслуживает Squid).
С точки зрения теории это частный случай "маршрутизации по правилам/политикам" (в нотации Cisco).
Либо можно рассматривать как помесь "обратного NAT/PAT".

- собственно программа Proxy, которая умеет обрабатывать "завернутый" трафик

"Плюс" заключается в том что клиент и не подозревает о такой операции.
"Минус" - нестандартные порты не обслуживаюся, аутентификация средствами прокси ограничена.

Вобще исходя из типового функционала использования, правильнее назвать его "прозрачным кэш-прокси",
т. к. обычно он используется для принудительного кэширования трафика.

- Для функции кэширования - нет (недорогих).
- Для фильтрации, в том числе и black-листами - аппаратные устройства.
Вариантов море. Хошь Panda, хошь Cisco, хошь Juniper, хошь Zyxel, хошь D-Link

можно пример, когда утентификация ограничена

kim-aa, хм. а непрозрачный прокси тогда что такое?

На прозрачном прокси вы сможете регулировать трафик по хосту (т.е. по IP либо MAC), но не по
Пользователю. (Как определить пользователя если нигде не вводится логин и пароль)?

Непрозрачный (классический) прокси.
Программа-клиент явно знает что будет общаться с требуемым ресурсом не на прямую, а через посредника - прокси.

Естественно, предусматриваются как расширения в протоколе, (хотя бы для ф-и аутентификации), так и в пунктах настройки.

если проксировать 80 порт, то тот же сквид позволяет требовать логин и пароль

хотя насчет других портов, я согласен, пароль вводить некуда.
но и при непрозрачном проксирование, на другие порты тоже не всегда легко навешать аутентификацию по пользователю