Proxy transparente ou config automática dos clientes

Emanuel_Gomes
(usa Debian)

Enviado em 19/02/2010 - 10:15h

tenho uma rede com servidor debian + squid, com clientes windows, a minha dúvida é se uso proxy transparente ou configuração automática. Qual dessas opções é a mais segura? Pois li q o proxy automático existem essas falhas:
Não funciona com HTTPS e FTP;
Não funciona com sites que não operam na porta 80;
É facilmente burlável;
Podem haver problemas com refresh de páginas.
Sendo que a config automática só funciona com o IE, já nos browsers Firefox e Chrome não funcionam e temos q especificar manualmente o proxy oq nos daria muito trabalho principalmente com os notebooks.

Diede
(usa Debian)

Enviado em 19/02/2010 - 16:10h

Não funcionar com HTTPS e FTP não são falhas, afinal o Squid não funciona com FTP de qualquer jeito (o que ele faz é uma versãozinha http do ftp), e o HTTPS não permite proxies transparentes (é questão de segurança).
Eu recomendo a configuração automática, que de fato funciona no Firefox: http://www.vivaolinux.com.br/artigos/impressora.php?codigo=5544
Mesmo com a possibilidade de Browsers exóticos, você poderia usar os dois modos simultaneamente...

Emanuel_Gomes
(usa Debian)

Enviado em 20/02/2010 - 12:21h

Amigo, pois lhe peço uma ajuda, tentei fazer o procedimento, mas como não tenho muito conhecimento de bind (dns), não funcionou, vou lhe passar os .conf pra vc dar uma olhada, se possivel.


{Primeiro Arquivo}
/etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "empresa.local" {
type master;
file "/etc/bind/db.empresa.local";
};

zone "2.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.2.168.192";

};

{Segundo Arquivo}
/etc/bind/named.conf.options
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
192.168.15.1;
200.255.212.201;
};
// Security options
listen-on port 53 { 127.0.0.1; 192.168.2.1; };
allow-query { 127.0.0.1; 192.168.2.0/24; };
allow-recursion { 127.0.0.1; 192.168.2.0/24; };
allow-transfer { none; };

auth-nxdomain no; # conform to RFC1035
// listen-on-v6 { any; };
};

{Terceiro Arquivo}
/etc/bind/db.empresa.local

;
; BIND zone file for empresa.local
;

$TTL 3D
@ IN SOA ns.empresa.local. root.empresa.local. (
2008121701 ; serial
8H ; refresh
2H ; retry
4W ; expire
1D ) ; minimum
;
NS ns ; Inet address of name server
MX 10 mail ; Primary mail exchanger

ns A 192.168.2.1
mail A 192.168.2.1

server A 192.168.2.1

virtual A 192.168.2.2

router A 192.168.2.1 ; router ADSL
gateway CNAME lnxserver
gw CNAME lnxserver
proxy CNAME lnxserver

{Quarto arquivo de configuração}
/etc/bind/db.2.168.192

;
; BIND zone file for 192.168.2.xxx
;

$TTL 3D
@ IN SOA ns.empresa.local. root.empresa. (
2008121701 ; serial
8H ; refresh
2H ; retry
4W ; expire
1D ) ; minimum
;
NS ns.empresa.local. ; Nameserver address

1 PTR server.empresa.local.
1 PTR ns.empresa.local.
1 PTR mail.empresa.local.
2 PTR virtual.empresa.local.
1 PTR router.empresa.local.

Diede
(usa Debian)

Enviado em 20/02/2010 - 13:08h

Seus "gateway", "gw" e "proxy" fazem referencia a lnxserver, mas... onde está o lnxserver?
Declara ele aí: "lnxserver A 192.168.2.1"

Você conseque resolver esses hosts?
algo como nslookup router.empresa.local funciona?

Depois de configurar o bind, é só adicionar a entrada ao dhcpd.conf, e configurar o wpad.dat, como mostra o artigo:

option wpad code 252 = text;
option wpad "http://seu.servidor.web/wpad.dat\n";


PS: Um dos seus Forwarders do bind é o "192.168.15.1". Usas um link da Embratel aí?

Emanuel_Gomes
(usa Debian)

Enviado em 20/02/2010 - 18:34h

Fiz como vc pediu e deu certo, realmente uso um link da embratel (wimex), queria usar os dns dele como forwarder, porem tenho que lhe dizer que fiz apenas a configuração no dns e não houve necessidade de fazer pelo DHCP, testei várias vezes e com vários navegadores. De toda forma valew mesmo pela ajuda