a) Решил сделать 2 прокси:
1. Прозрачный - для руководства и их девайсов (чтобы не прописывать никаких настроек лишний раз им). Авторизация по IP.
Но при всем при этом, эта прозрачность должна давать доступ и другим пользователям ходить на почтовые и поисковые сайты. (Хотя этот пункт спорный - опять придется мутить белые списки через IPTABLES для HTTPS)
2. Не прозрачный - для остальных сотрудников на рабочих ПК, возможно с авторизацией по логину паролю (пока думаю, оставаться на старой схеме - доступ по IP, или же пусть сотрудник может зайти с любого устройства со своим логином/паролем).
Следовательно в squid.conf нужно задать
http_port 3128 intercept
http_port 3129
А что нужно задать в IPTABLES? Редирект на оба порта, так?
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128,3129?
Для прозрачного
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
Непрозрачное будет и так работать, главное разрешить ходить из локальной сети на сервер
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
b) Пока ищу информацию, но может кто здесь подскажет, при авторизации по логину/паролю как-то разделять для разных групп (пользователей) разный доступ можно? Как обозначаются в таких случаях ACL?
c) Какими-то программными средствами/скриптами можно сделать так, чтобы клиентские ПК/ноутбуки в случае смены дислокации и необходимости выхода в интернет, сами определяли, что настройки на мой не прозрачный прокси не нужны и позволяли работать с автоматическими? (Чтобы сотрудникам (женщинам в возрасте в том числе) не приходилось погружаться в нюансы настройки прокси в браузере.
Тема: 2 прокси на разных портах - один прозрачный, другой нет (и еще пара вопросов) (Прочитано 962 раз)
