Proxy transparente + proxy autenticado

brekler
(usa CentOS)

Enviado em 03/03/2016 - 16:44h

Boa tarde pessoal.
É possivel ter os 2 proxys funcionando no mesmo servidor ?
Tipo, tenho algumas máquinas que eu quero deixar com proxy fixo e autenticado pegando todos os logs e vou criar a rede wireless que quero que seja proxy transparente.
Possível fazer isso ?
precisa de 2 Dhcp ?

stefaniobrunhara
(usa CentOS)

Enviado em 04/03/2016 - 08:18h

Você não precisa de 2 proxys. O que você precisa é de uma regra no seu firewall para forçar a rede1 a passar pelo proxy e a rede2 não. O dhcp pode trabalhar com duas redes. Os clientes conectados na rede1 receberão ip da rede1 e clientes conectados na rede2 receberão ip da rede2, isto funciona bem quando você tem a rede física separada, caso contrario você pode deixar a rede1 marcada por mac-address para entregar os ips e o que estiver livre da marcação do mac-address recebe ips da rede2.

brekler
(usa CentOS)

Enviado em 04/03/2016 - 08:28h

Mas tem um porém ai fera... ambas as redes tem que passar pelo proxy. Mas uma transparente e outra autenticado.
Por mim poderia ser a mesma rede, e eu não tenho 2 camadas físicas. seria a mesma placa, pensei no caso de fazer 2 roles de dhcp, mas como tratar isso no proxy ?

andr3ribeiro
(usa Arch Linux)

Enviado em 04/03/2016 - 08:33h

Aqui na empresa criei a segunda rede wifi para visitantes usando Captive Portal.
O sarg pega os dados das duas interfaces. Nas duas uso entrega de proxy por WPAD

Buckminster
(usa Debian)

Enviado em 04/03/2016 - 09:02h

Os celulares, tablets, etc, conseguem 'pegar' o WPAD?

brekler
(usa CentOS)

Enviado em 04/03/2016 - 09:10h

Pra mim os celulares não pegam o WPAD. Então meu plano seria um 802.1x com proxy transparente

Buckminster
(usa Debian)

Enviado em 04/03/2016 - 09:18h

https://www.vivaolinux.com.br/topico/Squid-Iptables/Android-com-proxy-automatico-WPAD

stefaniobrunhara
(usa CentOS)

Enviado em 04/03/2016 - 15:16h

A autenticação do squid não funciona no método transparente, então só as maquinas que tiverem o proxy configurado no navegador que irão pedir senha.

No caso de ter a mesma placa de rede para o dhcpd, você poderia tratar da forma que falei anteriormente, uma parte da rede pega IP porque esta marcado o mac-addres, e o que não esta marcado pega ip aleatórios. Talvez seja bom você ter uma rede e partir ela em duas, Uma sub redes marcada pelo mac-address e a outra não.

Exemplo
subnet 192.168.0.0 netmask 255.255.252.0 {
range 192.168.1.0 192.168.1.254;
host PC-1 { hardware ethernet 40:61:86:fd:b8:60; option routers 192.168.0.254; fixed-address 192.168.0.1;}
host PC-2 { hardware ethernet 00:19:5b:fc:c6:b4; option routers 192.168.0.254; fixed-address 192.168.0.2;}
host PC-3 { hardware ethernet 00:25:22:29:8c:d7; option routers 192.168.0.254; fixed-address 192.168.0.3;}
}

maquinas na sub rede 192.168.0.0 receberão ip marcado pelo MAC e as não marcadas receberão ip da sub rede 192.168.1.0