НЕпрозрачный прокси (WPAD ?)

[AROR]

Здравствуйте!

(Нажмите, чтобы показать/скрыть)

Локальная сеть
(192.168.111.0/24)
     |||
     \ /
Контролер домена (DNS, DHCP)
(192.168.111.2)
     |||
     \ /
Шлюз (NAT, PROXY)
(192.168.111.1)
     |||
     \ /
Интернет
(Внешний белый IP)

Имеется локальная сеть состоящая из:
1.1. Машин вхожих в AD;
1.2. Машин НЕ вхожих в AD (так сказать внештатные сотрудники, которым необходим интернет);
1.3. И те и другие любят просаживать канал
2. Сейчас, как временная мера, 80 и 8080 порты разрешены только для определенного списка MAC адресов (дабы с планшетов и смартфонов не сидели левые товарищи), по средствам acl и mime_type порезал потоковое видео и аудио (естественно за исключением HTTPS контента), запретил качать некоторые форматы файлов, видео, аудио, торренты. Все остальное идет мимо прокси.

Что бы управлять ситуацией полностью, нужно пустить весь трафик через squid, в том числе HTTPS.
И в последствии блокировать нежелательные ресурсы.

По логике, я понимаю, что нужно:
1. Раздать параметры прокси через GPO;
2. Перевести squid в НЕпрозрачный режим проксирования;
3. Завернуть ВЕСЬ трафик на 3128 (squid);
4. Разрешить в squid.conf то что нужно и кому нужно (по портам).

НО, как быть с машинами, на которых GPO не распространяются?
Поможет ли в этом случае реализация WPAD на шлюзе, т.е. будет ли получить настройки прокси каждая машина, обратившись скажем на 80,8080,443 порты?

Прошу совета/пример решения у знающих людей, как лучше поступить в данной ситуации. Сразу скажу, вариант "Логи на стол директору -> штрафы/увольнения" неприемлем, т.к. он этим заниматься не будет, а канал от всякого хлама нужно разгружать.

[AnrDaemon]

Если машина может получать нужные настройки указанным образом, то да.
Вот только HTTPS вы сможете фильтровать только по домену, как максимум.
А советов и примеров решения полно, только не все они работают для всех случаев. (Поиск справа вверху, если что.)

[AROR]

>>AnrDaemon

Если машина может получать нужные настройки указанным образом, то да.

Т.е. Вы имеете в виду, если машина/устройство поддерживает (и эта функция включена) автоматическое определение прокси сервера, то WPAD раздаст настройки прокси всем машинам вне зависимости от нахождения в домене?

Вот только HTTPS вы сможете фильтровать только по домену, как максимум.

Вот здесь не понятно, какая связь https трафика и домена, если весь трафик будет идти через прокси. Если я не правильно понял, объясните пожалуйста или ссылку-пример.

А советов и примеров решения полно, только не все они работают для всех случаев. (Поиск справа вверху, если что.)

Я перерыл наверное все форумы, может конечно вопрос для поисковых машин формулирую не корректно, но везде информация общая, без подобных (наверное только для меня) нюансов.

[AnrDaemon]

>>AnrDaemon

Если машина может получать нужные настройки указанным образом, то да.

Т.е. Вы имеете в виду, если машина/устройство поддерживает (и эта функция включена) автоматическое определение прокси сервера, то WPAD раздаст настройки прокси всем машинам вне зависимости от нахождения в домене?

Не "WPAD раздаст", а "DHCP сервер раздаст" настройки WPAD.
Говорю же, примеров и в сети и на этом форуме море.

Вот только HTTPS вы сможете фильтровать только по домену, как максимум.

Вот здесь не понятно, какая связь https трафика и домена, если весь трафик будет идти через прокси.

Вы в курсе, что такое HTTPS?… Да, трафик идёт через прокси. А толку? Он зашифрован. Что там внутри - вы не знаете. Вы даже не знаете, что снаружи (на какие страницы заходит клиент) - ничего, кроме хоста, к которому подключился клиент прокси-сервера.

Если я не правильно понял, объясните пожалуйста или ссылку-пример.

А советов и примеров решения полно, только не все они работают для всех случаев. (Поиск справа вверху, если что.)

Я перерыл наверное все форумы, может конечно вопрос для поисковых машин формулирую не корректно, но везде информация общая, без подобных (наверное только для меня) нюансов.

Просто вбейте в поисковую строку WPAD.
А нюансы - это из области общих знаний о работе интернета, к WPAD напрямую не относятся.