Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] Нужен прозрачный прокси (http://forum.oszone.net/showthread.php?t=153747)

Diesel315 20-10-2009 13:47 1247833
Нужен прозрачный прокси
 
Всем добрый день. Есть сеть локальная доменная инет раздается с помощью проксика UG 2.8 (у клиентов прописан адрес этой машины в браузерах) некоторые программы (клиент-банк) не может работать через прокси (нет настройки), но по идеи можно организовать перенаправление по портам. Но мне все равно нужен прозрачный прокси (желательно с функциями фильтрации, ограничения и всякой другой фичей) под windows. Что посоветуете. Да желательно чтобы это работало все вместе ну прозрачный и UG 2.8.

ab57 21-10-2009 12:10 1248586
Замена UG на другой прокси вам ничего не даст. Если приложение не умеет работать через прокси, то оно и не станет этого делать. Можно использовать NAT вашего UG, или перенаправление соединения через UG на сервер банка.
Цитата:
Цитата Diesel315
некоторые программы (клиент-банк) не может работать через прокси (нет настройки), »
Попробуйте использовать программы, позволяющие перенаправлять сетевой трафик приложений через прокси, даже если это не предусмотрено настройками приложения, - ProxyCap, Freecap, и им подобные. Freecap - бесплатная. Proxycap - более функциональная.
Устанавливаете на компьютере с клиент-банком, и все должно заработать через прокси.
Ну, и пример, как сделать прозрачный прокси из сквида (в Linux)- Здесь
ИМХО, если есть возможность, не стоит давать клиентским компам шлюз по умолчанию.

Diesel315 21-10-2009 15:29 1248806
Цитата:
Цитата ab57
МХО, если есть возможность, не стоит давать клиентским компам шлюз по умолчанию »
Здесь я с вами согласен у меня на клиентах и не прописан шлюз, просто есть машины которые сидят под админами и у меня нет власти изменить это (это СБ). В принципе я их пускаю через проски, но все же хотелось контролировать с помощью прозрачного вдруг они поумнеют и пропишут сами шлюз.
Цитата:
Цитата ab57
Если приложение не умеет работать через прокси, то оно и не станет этого делать »
А вот для этого и предназначен прозрачный прокси (приложение даже не догадывается что работает через прокси просто стучится в шлюз, а уже прозрачный сам захватывает трафик и перенаправляет его)
По поводу сквида уже думал но как почитал на форумах у многих геморой. По поводу установки на машинах с клиент-банками не катит, так как нужен контроль общий на граничной машине.

madmax24 21-10-2009 15:35 1248816
Цитата:
Цитата Diesel315
Здесь я с вами согласен у меня на клиентах и не прописан шлюз, просто есть машины которые сидят под админами и у меня нет власти изменить это (это СБ). »
предложение из ряда фанатичных - если с помощью ГП закрыть доступ к сетевым настройкам?

ab57 21-10-2009 15:55 1248830
Цитата:
Цитата Diesel315
А вот для этого и предназначен прозрачный прокси (приложение даже не догадывается что работает через прокси просто стучится в шлюз, а уже прозрачный сам захватывает трафик и перенаправляет его) »
Я бы уточнил, - приложение, работающее по HTTP-протоколу.
Именно - "стучится в шлюз".
Прозрачный прокси, если ваши клиент-банки работают не по HTTP-протоколу, будет просто маршрутизатором с NAT.
Прозрачный прокси имеет смысл, если нет желания настраивать браузеры и у клиентов прописан шлюз по умолчанию. На шлюзе отсортировывается "проксируемый" трафик и направляется на прокси, а остальной или пропускается, или блокируется. В ашем случае на компах с клиентами придется выдать шлюз по умолчанию. Клиент - банки наверняка работают по своему протоколу, ничего проксировать не получится, - обычный выход в сеть через NAT. Все это вы можете сделать и на вашем UG.
А по поводу сквида, - там просто устаревшее описание, вместо ipchains использовать iptables, и соответствующие правила. Особого геморроя не будет. Только сдается мне, что оно вам не нужно, разве что в образовательных целях.
Уточните, клиент-банк работает по HTTP ? Если нет, то я бы сделал так:
- В настройках клиент- банка вместо сервера банка прописал бы ваш юзергейт
- В настройках UG сделал бы TCP mapping на сервер банка
Шлюз клиентам прописывать не нужно, все будет работать, весь трафик будет проходить через комп с юзергейтом. Выход через NAT юзергейта закрыть, и пусть себе ушлые клиенты прописывают шлюз.

Diesel315 21-10-2009 17:05 1248890
Цитата:
Цитата madmax24
если с помощью ГП закрыть доступ к сетевым настройкам?»
Цитата:
Цитата Diesel315
это СБ »
За ними мне нужно только наблюдать куда они лазают. И собирать логи.
Цитата:
Цитата ab57
Уточните, клиент-банк работает по HTTP ? »
один да, другой pop3, smtp. По поводу порт маппинга я уже думал, но повторюсь прозрачный прокси я хотел использовать не только для них но и в целом отслеживать вдруг что.
Цитата:
Цитата ab57
Выход через NAT юзергейта закрыть »
Это как понимать, отключить общий доступ в ХР? Просто у меня так работает. Инет---прокси (ХР+ЮГ 2,8+ICS(общий доступ))----ЛВС. Обычные пользователи ходят через прокси (в настройках браузера прописал прокси), а для клиент банков поднял общий доступ и прописал на их машинах шлюз проксика и теперь они идут мимо ЮГ.

ab57 21-10-2009 18:37 1248954
Цитата:
Цитата Diesel315
Это как понимать, отключить общий доступ в ХР? »
Я бы так и сделал. Только есть одно НО!, если не ошибаюсь, ваш Usergate 2.8 не поддерживает NAT, и его придется заменить на более позднюю версию.
Если нельзя использовать UG посвежее, имхо, лучшим решением остается связка iptables+squid.

Diesel315 22-10-2009 08:28 1249263
Ладно спасибо за советы пока остановился на вашем варианте связка iptables+squid и вроде KWF позволяет сделать прозрачный, буду пробовать

sergey_dsv 22-10-2009 10:11 1249344
HandyCache - бесплатный кэширующий HTTP прокси-сервер http://handycache.ru/ может это вам подойдет.
Не сочтите за рекламу, просто сам пользуюсь.


Время: 01:24.

Время: 01:24.
© OSzone.net 2001-