Proxy trasparente...come si fa?

[Danilo Dionisi]

Salve a tutti,
purtroppo per motivi di ignoranza di altra gente(prima chiedono una cosa e poi ne vogliono un altra), ho settato male il server...ora vi spiego.
Sul mio server gira un Ubuntu 12.04.4 LTS a 64 bit, ho settato il proxy(squid) con la porta 3128 e i pc per navigare hanno bisogno che gli venga settato a mano il proxy (richiesta iniziale).
Ora il preside della scuola vuole che il proxy venga rilevato automaticamente dal server senza bisogno di doverlo settare per tutti i pc, questo perché loro hanno anche 2 access point per dare segnale wi-fi a qualsiasi studente e/o professore voglia collegarsi ad internet, e dice che una persona non può certo settarsi il proxy su un telefonino con android o ios (alle elementari i ragazzini hanno già il telefono? Che tempi...)!! Ora vi chiedo...so che rete ISI permette di avere un proxy trasparente anche se è sconsigliato per le scuola...la mia domanda è...come faccio a fare in modo di settare questo proxy trasparente? basta che decommento (tolgo il # ad inizio riga) del parametro proxy_redir_port? Settando questa parametro ho comunque bisogno di squid anche se si tratta di un proxy trasparente? Cosa altro devo settare?
Per ora chiudo qui le mie domande, a secondo delle vostre risposte ne avrò altre da fare :p
Grazie,
Danilo.

[Alessandro Dentella]

On Tue, Jun 05, 2012 at 06:32:47AM -0700, Danilo Dionisi wrote:
> Salve a tutti,
> purtroppo per motivi di ignoranza di altra gente(prima chiedono una cosa e poi
> ne vogliono un altra), ho settato male il server...ora vi spiego.
> Sul mio server gira un Ubuntu 12.04.4 LTS a 64 bit, ho settato il proxy(squid)
> con la porta 3128 e i pc per navigare hanno bisogno che gli venga settato a
> mano il proxy (richiesta iniziale).
> Ora il preside della scuola vuole che il proxy venga rilevato automaticamente

> dal server senza bisogno di doverlo settare per tutti i pc, questo perch loro

> hanno anche 2 access point per dare segnale wi-fi a qualsiasi studente e/o

> professore voglia collegarsi ad internet, e dice che una persona non pu certo

> settarsi il proxy su un telefonino con android o ios (alle elementari i

> ragazzini hanno gi il telefono? Che tempi...)!! Ora vi chiedo...so che rete

La vera domanda � se vogliono navigazione autenticata o no. Se vogliono
navigazione autenticata io non conosc un modo per impostare il proxy senza
alcun intervento sul browser, se qualcuno lo conosce sono interesato a
saperlo.

Esiste per altro la possibilit� di desumere dal dns il proxy come indicato
in fondo alla nostra pagina [1] su squid, ma io non ho mai avuto tempo di
indagare: in ogni caso prevede una specifica configurazione del browser che
di nuovo deve essere fatta manualmente.

[1] http://www.reteisi.org/install/servizi/squid_dans_reports.html#pac-e-wpad


Se si vuole navigazione non autenticata, il proxy fa solo cache e problemi
non ce ne �.

> ISI permette di avere un proxy trasparente anche se sconsigliato per le
> scuola...la mia domanda ...come faccio a fare in modo di settare questo proxy

> trasparente? basta che decommento (tolgo il # ad inizio riga) del parametro
> proxy_redir_port? Settando questa parametro ho comunque bisogno di squid anche
> se si tratta di un proxy trasparente? Cosa altro devo settare?

certo! trasparente significa che fa solo cache e non filtro. Ma un proxy
server serve!!!!

Se fai solo proxy trasparente NON devi impostare nulla sul browser ma DEVI
usare REDIR.


sandro

--
Sandro Dentella *:-)
http://www.reteisi.org Soluzioni libere per le scuole
http://sqlkit.argolinux.org SQLkit home page - PyGTK/python/sqlalchemy

[Davide Barbaria]

Il 05-06-2012 21:51 Alessandro Dentella ha scritto:
> On Tue, Jun 05, 2012 at 06:32:47AM -0700, Danilo Dionisi wrote:
>> Salve a tutti,
>> purtroppo per motivi di ignoranza di altra gente(prima chiedono una
>> cosa e poi
>> ne vogliono un altra), ho settato male il server...ora vi spiego.
>> Sul mio server gira un Ubuntu 12.04.4 LTS a 64 bit, ho settato il
>> proxy(squid)
>> con la porta 3128 e i pc per navigare hanno bisogno che gli venga
>> settato a
>> mano il proxy (richiesta iniziale).
>> Ora il preside della scuola vuole che il proxy venga rilevato
>> automaticamente
>> dal server senza bisogno di doverlo settare per tutti i pc, questo
>> perch loro
>> hanno anche 2 access point per dare segnale wi-fi a qualsiasi
>> studente e/o
>> professore voglia collegarsi ad internet, e dice che una persona non
>> pu certo
>> settarsi il proxy su un telefonino con android o ios (alle
>> elementari i
>> ragazzini hanno gi il telefono? Che tempi...)!! Ora vi chiedo...so
>> che rete
>

> La vera domanda è se vogliono navigazione autenticata o no. Se

> vogliono
> navigazione autenticata io non conosc un modo per impostare il proxy
> senza
> alcun intervento sul browser, se qualcuno lo conosce sono interesato
> a
> saperlo.

In realtà esiste, in un contesto di dominio un server samba può
impostare automaticamente un proxy sul profilo dell'utente tramite un
documento di tipo .pac (quindi sotto forma di url es.
Http://10.10.0.2/proxy.pac). Il problema e' che ciò e' possibile solo
con IE se nn vado errato




>
> Esiste per altro la possibilità di desumere dal dns il proxy come

> indicato
> in fondo alla nostra pagina [1] su squid, ma io non ho mai avuto
> tempo di
> indagare: in ogni caso prevede una specifica configurazione del
> browser che
> di nuovo deve essere fatta manualmente.
>
> [1]
> http://www.reteisi.org/install/servizi/squid_dans_reports.html#pac-e-wpad
>
>
> Se si vuole navigazione non autenticata, il proxy fa solo cache e
> problemi

> non ce ne è.

>
>> ISI permette di avere un proxy trasparente anche se sconsigliato
>> per le
>> scuola...la mia domanda ...come faccio a fare in modo di settare
>> questo proxy
>> trasparente? basta che decommento (tolgo il # ad inizio riga) del
>> parametro
>> proxy_redir_port? Settando questa parametro ho comunque bisogno di
>> squid anche
>> se si tratta di un proxy trasparente? Cosa altro devo settare?
>
> certo! trasparente significa che fa solo cache e non filtro. Ma un
> proxy
> server serve!!!!
>
> Se fai solo proxy trasparente NON devi impostare nulla sul browser ma
> DEVI
> usare REDIR.
>
>
> sandro
>
> --
> Sandro Dentella *:-)
> http://www.reteisi.org Soluzioni libere per le scuole
> http://sqlkit.argolinux.org SQLkit home page -
> PyGTK/python/sqlalchemy

--
prof. Davide Barbaria
Amministratore reti telematiche
ITCS Erasmo da Rotterdam
via varalli, 24
20021 - Bollate (MI)

[Alessandro Dentella]

On Wed, Jun 06, 2012 at 07:48:58AM +0200, Davide Barbaria wrote:
> >La vera domanda � se vogliono navigazione autenticata o no. Se

> >vogliono
> >navigazione autenticata io non conosc un modo per impostare il
> >proxy senza
> >alcun intervento sul browser, se qualcuno lo conosce sono
> >interesato a
> >saperlo.
>

> In realt� esiste, in un contesto di dominio un server samba pu�

> impostare automaticamente un proxy sul profilo dell'utente tramite
> un documento di tipo .pac (quindi sotto forma di url es.

> Http://10.10.0.2/proxy.pac). Il problema e' che ci� e' possibile

> solo con IE se nn vado errato

Non intendo questo. Se siamo in un contesto di dominio � facile: basta
impostarlo nel logon.bat. Noi lo facciamo gi� e ReteISI documenta
opportunamente questa direttiva.

Non credo per� che faccia il join di un ipad o uno smartphone a
samba... giusto?

sandro
*:-)

[Danilo Dionisi]

Scusate, ma non sono esperto su questo campo quindi non capisco bene cosa intende Sandro con join di Ipad e Smartphone. 

Allora, la scuola ha un'aula didattica con 12 computer, qui il preside vorrebbe che gli utenti possano loggarsi per navigare in internet, mentre vorrebbe che con la wi-fi ci si possa connettere e navigare tranquillamente.

Quindi da quello che ha risposto Sandro, non è possibile avere un proxy trasparente con in più l'autenticazione senza settare niente sui browser dei pc...ok mettiamo caso che io setto le impostazioni del proxy nei browsers di questi pc (mi sta anche bene), però è possibile che coloro che useranno il wi-fi (passando sempre per il mio server) possano usare il proxy trasparente senza usare l'autenticazione? Cioè l'autenticazione si può settare solo su alcuni ip/mac address?

E la cosa più importante, ma una volta installato argo e settato il file fw.conf, mi serve per forza installare squid oppure argo mi fa già da firewall trasparente senza l'ausilio di squid? (Già immagino le mani nei capelli di Sandro e Davide XD)

Comunque ho appena tirato su un server di prova sempre con Ubuntu 12.04 LTS a 64 bit, ora farò le cose passo passo cosi che potrò dirvi di preciso le difficoltà che trovo.

Grazie,

Danilo.

[Danilo Dionisi]

Scusate, ho letto ora l'altra parte di risposta di Sandro, cioè che anche se si tratta di proxy trasparente mi serve comunque un proxy server. Ok, installiamo questo benedetto squid, per farlo in modo che mi faccia da modalità trasparente, dove posso trovare le configurazioni da dargli? E domanda molto essenziale, se non setto niente sul browser, come faccio a sapere che veramente il mio pc naviga attraverso il proxy? :p

[Davide Barbaria]

Il 06-06-2012 10:24 Danilo Dionisi ha scritto:
> Scusate, ma non sono esperto su questo campo quindi non capisco bene
> cosa intende Sandro con join di Ipad e Smartphone.
> Allora, la scuola ha un'aula didattica con 12 computer, qui il
> preside
> vorrebbe che gli utenti possano loggarsi per navigare in internet,
> mentre vorrebbe che con la wi-fi ci si possa connettere e navigare
> tranquillamente.
> Quindi da quello che ha risposto Sandro, non è possibile avere un
> proxy trasparente con in più l'autenticazione senza settare niente
> sui browser dei pc...ok mettiamo caso che io setto le impostazioni
> del
> proxy nei browsers di questi pc (mi sta anche bene), però è
> possibile che coloro che useranno il wi-fi (passando sempre per il
> mio
> server) possano usare il proxy trasparente senza usare
> l'autenticazione? Cioè l'autenticazione si può settare solo su
> alcuni ip/mac address?

io mi fermo a leggere qui altrimenti i capelli mi cadono, se ho capito
bene il tuo problema so che è possibile da iptables fare in modo che
determinati indirizzi ip possano andare in internet bypassando
l'autenticazione, mentre tutti gli altri si debbano autenticare. Non
ricordo bene ma se la direttiva, ma se do un occhio alla configurazione
del mio squid mi pare di averla impostato una volta

> E la cosa più importante, ma una volta installato argo e settato il
> file fw.conf, mi serve per forza installare squid oppure argo mi fa
> già da firewall trasparente senza l'ausilio di squid? (Già immagino
> le mani nei capelli di Sandro e Davide XD)
> Comunque ho appena tirato su un server di prova sempre con Ubuntu
> 12.04 LTS a 64 bit, ora farò le cose passo passo cosi che potrò
> dirvi di preciso le difficoltà che trovo.
> Grazie,
> Danilo.
>

> --
> Hai ricevuto questo messaggio perché sei iscritto al gruppo
> "reteisi" di Google Gruppi.
> Per visualizzare questa discussione sul Web, visita
> https://groups.google.com/d/msg/reteisi/-/sHhpJDWNy0wJ [1].
> Per postare messaggi in questo gruppo, invia un'email a
> ret...@googlegroups.com.
> Per annullare l'iscrizione a questo gruppo, invia un'email a
> reteisi+u...@googlegroups.com.
> Per ulteriori opzioni, visita il gruppo all'indirizzo
> http://groups.google.com/group/reteisi?hl=it.
>
>
> Links:
> ------
> [1] https://groups.google.com/d/msg/reteisi/-/sHhpJDWNy0wJ

[Danilo Dionisi]

io mi fermo a leggere qui altrimenti i capelli mi cadono, se ho capito
bene il tuo problema so che è possibile da iptables fare in modo che
determinati indirizzi ip possano andare in internet bypassando
l'autenticazione, mentre tutti gli altri si debbano autenticare. Non
ricordo bene ma se la direttiva, ma se do un occhio alla configurazione
del mio squid mi pare di averla impostato una volta

Ma in caso di argo, la regola non la metterò su iptables ma su fw.add, o proprio su iptables? Comunque Davide se potresti vedere questa regola e dirmi come potrei fare te ne sarei veramente grato. :)