Автоконфигурация, proxy.pac

[Кирилл Яновский]

Кто-то делал для BorderManager-а авто-конфигурацию прокси?

Вот по этому описанию: http://nscsysop.hypermart.net/proxypac.html получается, но немного не то, что надо.
Т.е. браузер (при установке "автоматическое определение параметров") настройки прокси получает, но только если руками указать адрес, где лежит скрипт с описанием. Без этого - не получает.

А хотелось бы сделать так, чтобы приходящие юзеры с ноутами ничего у себя не настраивали. И на основе того, что айпишники им выдаютсья из определенного диапазона - соответственно имели интернет через прокси.

Пробую еще transparent proxy, неясен такой момент - я, по идее, могу его настроить слушать любой порт? А как же на клиентской машине броузер "узнает", на какой порт ломиться? И еще, "прозрачный" прокси ограничивать нельзя? Правил для него нету?

[Павел Гарбар]

Смысл его в том, что пользователь про него не в курсе, а он есть!
Слушает он, угадай с одного раза, на 80 порту!
В бордюре его надо просто включить, даже ничего настраивать в поле портов не надо.
Сам этот сервер можно сделать шлюзом по умолчанию.
А теперь самое главное - если на бордюре поднят NAT, то надо фильтрами запретить передачу из внутренней сети на 80 порт. Т.е. пользователи ломятся в тырнет по 80 порту, попадают на бордюр, оттуда - в прозрачный прокси. А вот уже он от своего имени (внешнего адреса) посылает запросы наружу.

[Владимир Горяев]

Кто-то делал для BorderManager-а авто-конфигурацию прокси?

Вот по этому описанию: http://nscsysop.hypermart.net/proxypac.html получается, но немного не то, что надо.
Т.е. браузер (при установке "автоматическое определение параметров") настройки прокси получает, но только если руками указать адрес, где лежит скрипт с описанием. Без этого - не получает.

А хотелось бы сделать так, чтобы приходящие юзеры с ноутами ничего у себя не настраивали. И на основе того, что айпишники им выдаютсья из определенного диапазона - соответственно имели интернет через прокси.

Нужно сделать файл wpad.dat. Он дожен быть доступен по адресу http://wpad/wpad.dat . Т.е. сделать соотв запись в вашем DNS и на веб-сервер етот файлик выложить.
Поищи по форуму, я вроде уже приводил примеры, ага вот:
http://novell.org.ru/forum/viewtopic.php?t=6755
http://novell.org.ru/forum/viewtopic.php?t=2806
также погугли.

Прозрачный прокси может мониторить не только 80 порт, но и другие можно добавить (напр 25 и 110 в telnet transparent proxy, тем самым пропустить smtp и pop3). При етом BM дб шлюзом по умолчанию. Также нужно будет сделать правила для таких портов.

[Андрей Тр. aka RH]

А хотелось бы сделать так, чтобы приходящие юзеры с ноутами ничего у себя не настраивали.

Нужно сделать файл wpad.dat. Он дожен быть доступен по адресу http://wpad/wpad.dat.

ИМХО чтобы wpad отработал, у пользователей должна стоять галка у Autodetect в браузере, иначе он будет ломиться в Инет как при direct connection ( т.е. уже безо всяких скриптов, прокси и т.п. ).

[Кирилл Яновский]

Смысл его в том, что пользователь про него не в курсе, а он есть!
Слушает он, угадай с одного раза, на 80 порту!
В бордюре его надо просто включить, даже ничего настраивать в поле портов не надо.

Да вот это и смутило, зачем тогда там дана возможность настраивать порт?
И еще.. как-то контролировать народ через этот прокси я могу?
Для них я могу как-то правила создать?
И вообще, мне только 1 подсеть надо выпустить "по-простому", остальные работать должны по-старому, через обычный прокси, с авторизацией.
Или, я правильно понимаю, "прозрачный" просто "ловит" обращения на 80 порт и заворачивает их на обычный прокси, которым я "рулю", как обычно? Или нет?

Сам этот сервер можно сделать шлюзом по умолчанию.
А теперь самое главное - если на бордюре поднят NAT, то надо фильтрами запретить передачу из внутренней сети на 80 порт. Т.е. пользователи ломятся в тырнет по 80 порту, попадают на бордюр, оттуда - в прозрачный прокси. А вот уже он от своего имени (внешнего адреса) посылает запросы наружу.

Во тут не совсем понял - т.е, если NAT выключен - "фильтрить" вообще не надо, так? А если включен НАТ - "фильтрами запретить передачу из внутренней сети на 80 порт" - закрыть 80 порт хоста с бордюром? Или перенаправить на порт ХТТП-прокси?

[Кирилл Яновский]

Кто-то делал для BorderManager-а авто-конфигурацию прокси?

Вот по этому описанию: http://nscsysop.hypermart.net/proxypac.html

Нужно сделать файл wpad.dat. Он дожен быть доступен по адресу http://wpad/wpad.dat . Т.е. сделать соотв запись в вашем DNS и на веб-сервер етот файлик выложить.
Поищи по форуму, я вроде уже приводил примеры, ага вот:
http://novell.org.ru/forum/viewtopic.php?t=6755
http://novell.org.ru/forum/viewtopic.php?t=2806
также погугли.

Да вроде так все и делал, и файл положил, куда сказано (и wpad.dat, и proxy.pac), и в ДНС свой прописал (пингую - wpad.local.mdau.mk.ua), в броузере - автонастройку параметров включаю. Но что-то нифига. Получается только в том случае, если еще и руками адрес скрипта вбиваю - http://192.168.1.1:1959/data/proxy.pac

Прозрачный прокси может мониторить не только 80 порт, но и другие можно добавить (напр 25 и 110 в telnet transparent proxy, тем самым пропустить smtp и pop3). При етом BM дб шлюзом по умолчанию. Также нужно будет сделать правила для таких портов.[/quote]
[quote="Владимир Горяев"]Правила - в бордюре? или имееться ввиду фильтры?

[Кирилл Яновский]

ИМХО чтобы wpad отработал, у пользователей должна стоять галка у Autodetect в браузере, иначе он будет ломиться в Инет как при direct connection ( т.е. уже безо всяких скриптов, прокси и т.п. ).

Ну это то понятно вернее, это почти что все, что понятно, с остальным хуже, вроде все просто, но что-то не складываеться...

[Владимир Горяев]

Да вот это и смутило, зачем тогда там дана возможность настраивать порт?
И еще.. как-то контролировать народ через этот прокси я могу?
Для них я могу как-то правила создать?...
Правила - в бордюре? или имееться ввиду фильтры?

Правила в BM Access Rules для соотв. портов см. http://novell.org.ru/forum/viewtopic.php?t=183. В filtcfg дб разрешено соотв., для начала достаточно разрешить интерфейсам все самим на себя, гайки потом закрутить.

[Владимир Горяев]

Да вроде так все и делал, и файл положил, куда сказано (и wpad.dat, и proxy.pac), и в ДНС свой прописал (пингую - wpad.local.mdau.mk.ua), в броузере - автонастройку параметров включаю. Но что-то нифига. Получается только в том случае, если еще и руками адрес скрипта вбиваю - http://192.168.1.1:1959/data/proxy.pac

http умолчательно работает на 80 порту. Т.о. должен существовать вебсервер с именем wpad, в корне которого лежит wpad.dat.