Proxy Transparente

brekler
(usa CentOS)

Enviado em 01/03/2016 - 10:24h

Pessoal...
Tirem uma dúvida ou me deem opiniões se possível
Atualmente tenho um cenário com 5 máquinas que são separadas da empresa com outra internet até só para funcionários dar aquela brincada na net.
Tenho lá rodando um server Centos7 com DHCP, iptables e squid.
No squid eu fiz uma autenticação com um BD que eu tenho todos os usuarios e senhas dos usuários. Até ai tudo normal. O detalhe que a diretoria quer colocar uma wifi pro povo.
Problema é... como autenticar o proxy em celulares ? config manual é buxa. Ai pesquisei e vi que a maioria utiliza 802.1x ou hotspot (faculdade daqui) e utilizam proxy transparente só pra ter um log (só de páginas http).
Alguém tem ideia se consigo pegar log de acesso de paginas https com proxy transparente ? se já existe algum método ?
Sei que o transparente só pode http, mas minha preocupação é ter log de acesso.
Se eu conseguir fazer um link do IP com site já ta tudo certo, pq dai eu olho no radius quem pegou o IP.

Ou alguém tem uma ideia melhor pra esse cenário ?
Preciso colocar uma wifi, com autenticação (802.1x, hotspot, proxy, tanto faz) e de preferencia ter logs de sites.

Buckminster
(usa Debian)

Enviado em 01/03/2016 - 12:16h

Squid autenticado e com WPAD pelo DHCP (ou pelo DNS mesmo).

SarusKant
(usa CentOS)

Enviado em 01/03/2016 - 12:34h

Utilize Mikrotik para o hotspot e freeradius para auth, faça com que o gateway desse hotspot seja seu servidor proxy, sendo assim terá todo tratamento necessário em seu servidor, lembrando que https, seu squid tem que suportar bump.
Mais duvidas, me add no Skype.

Saruskant

--
Bruno Thomaz

brekler
(usa CentOS)

Enviado em 01/03/2016 - 13:09h

Então, pensei nisso.
Ele vai passar pro celular normal ? 99,999% das conexões será com celular. Meu medo é ele não pedir autenticação.
Se liga nas minhas configs de WPAD pra ver se esta certa (não testei ainda).
dhcpd.conf
option wpad code 252 = text;
option wpad "http://10.0.0.1:500/wpad.dat\n";


wpad.dat
function FindProxyForURL(url, host) {
if(isPlainHostName(host))
return "DIRECT";
else
return "PROXY 10.0.0.1:3128";
}

ffischer
(usa Red Hat)

Enviado em 03/03/2016 - 15:28h

Pessoal estou com um problema parecido.
O pessoal montou uma rede wifi aqui e queria colocar proxy para filtrar os acessos, mas não queriam configurar manualmente o proxy nos smartfones.
Hj eu tenho um wpad rodando pra minha rede corporativa normalmente, joguei ele tb pra essa rede wifi e só os notebooks pegaram o wpad, os celulares não.
Uma observação, nos navegadores dos notebooks temos que marcar a opção "detectar automaticamente as configurações" no navegador do celular não temos essa opção, ou temos, tem alguma outra forma dele "puxar" o wpad?

Obrigado desde já!
Fábio

Buckminster
(usa Debian)

Enviado em 03/03/2016 - 15:49h

O wpad é um serviço que entrega informação mas não remove acesso ou cria regras.
O wpad é uma configuração que o cliente tem que saber puxar. Se os seus tablets ignoram esta informação, ele vai bater nas regras do firewall.

Para os notebooks e celulares aconselho uma rede separada com um proxy transparente ou se não tiver disponibilidade de máquina, crie uma rede sem fio aberta ou com senha pública em um roteador sem fio e bloqueie no firewall e no Squid o que você quiser bloquear para essa rede.

E cadastre os notebooks que você puder cadastrar pelo mac, os outros você coloca na rede aberta ou com senha pública.

ffischer
(usa Red Hat)

Enviado em 03/03/2016 - 15:56h

Buck mas é exatamente esse o meu ponto aqui, o único empecilho de colocar o wpad pra rede sem fio é que os celulares não puxam a configuração do wpad, não adianta termos um proxy separado para a rede sem fio (que seria o caso já que preparei uma máquina com proxy transparente e squidGuard pra isso) se os celulares, que são mais de 50% dos acessos a rede não pegam a configuração de proxy através do wpad.
Essa era a minha grande dúvida, se tinha alguma forma de fazer com que os mobiles "puxassem" a configuração de wpad para navegar através do proxy, to a tempos procurando isso e não acho uma forma.

Buckminster
(usa Debian)

Enviado em 03/03/2016 - 16:27h

É só tu criar uma subnet no DHCP e colocar o proxy transparente para esta rede em separado.
Acredito que assim fica até mais seguro tendo em vista que os acessos por dispositivos mobiles são grande.
Aqui a rede é assim, na com fio o MAC é amarrado ao IP no DHCP e tem proxy com WPAD e é separada da rede sem fio que tem proxy transparente.

ffischer
(usa Red Hat)

Enviado em 03/03/2016 - 16:33h

Já está separado o DHCP e tudo mais, toda a rede está separada, meu problema é só um, o dispositivo mobile não pega o wpad.

Se vc tiver com um tempo pra me ajudar me adiciona no skype pra eu poder te passar melhor a situação:

ffischerb (Fábio Fischer)

Buckminster
(usa Debian)

Enviado em 04/03/2016 - 09:19h

https://www.vivaolinux.com.br/topico/Squid-Iptables/Android-com-proxy-automatico-WPAD