Squid: Proxy Transparente Autenticado.

alexfelicioni
(usa Debian)

Enviado em 18/09/2014 - 11:47h

Olá Amigos, não sei se este é o local certo para postar esse problema, mas não encontrei um mais adequado.
Andei lendo diversos tópicos e nenhum deles supriu minha necessidade, portanto abri este tópico.

Tenho o seguinte ambiente:

Um hotel com uma rede pública de internet onde tenho uma demanda de até 100 conexões simultâneas, onde não posso de maneira nenhuma instalar aplicativos nos computadores dos clientes e não é viável configurar manualmente cada computador devido a rotatividade de hóspedes ser grande.
Também não posso contar que o hóspede configure o proxy no navegador pois a maioria sequer sabe que o internet explorer é um navegador.
Nesta rede pública, todas as máquinas terão acesso total à internet após a autenticação pois a autenticação é apenas para manter um registro de acesso dos hóspedes para fins legais.


Tenho também a rede privada do hotel onde somente existe uma whitelist para acesso.

Hoje utilizamos uma solução propŕietária chamada winconnection que cumpre bem essa função, porém precisamos atualizar a versão e expandir o número de licenças de acesso e o custo se tornou inviável, por isso decidimos utilizar o squid.

Preciso de uma sugestão de como fazer funcionar a autenticação com proxy transparente para que eu possa migrar o servidor.

Estou acostumado com Distros debian like.

Desde Já agradeço

l0g1in
(usa FreeBSD)

Enviado em 19/09/2014 - 22:48h

No seu caso como não da pra colocar o proxy para os caras terá que ser transparente mesmo, e não faz autenticação, quanto a verificar os acessos a quais sites você pode fazer isso usando o sarg, só não vai aparecer o usuário, visto que o sarg olha o acess.log, então tudo que tiver lá dentro ele vai gerar o relatório, no iptables você faz um redir de tudo que vir na porta 80 que vá para o seu squid, no dhcp colocar pra pegar o gw do proxy, ao meu ver não é díficil não, nada é impossivel, teria que estar fazendo uns lab pra testar.

anewvision
(usa Debian)

Enviado em 20/09/2014 - 09:26h

Isso mesmo que o astsilva disse. Eu tenho um cenário parecido com o seu. A solução é o squid com proxy transparent mesmo. Não esqueça de fazer o redirecionamento no iptables, senão nao passa no proxy.
No meu caso a função do proxy é basicamente fazer cache e gerar os log de acesso. No arquivo access.log eu vejo o que foi acessado. o Zarg eu não uso. Depois rodo arp -n pra ver mac. Com o mac consigo descobrir o hostname. Mas eu tenho um roteador wireless autenticando atrás do proxy.No seu caso, não há necessidade de saber o hostname, pois não terá controle sobre o dispositivos dos hospedes mesmo. Se a preocupação é saber o que um hospede acessou, no caso de uma auditoria futura. É preciso saber saber quanto tempo registro de log ficam guardado. Esta é uma curiosidade minha tambem. A, o debian faz bem este trabalho.

alexfelicioni
(usa Debian)

Enviado em 21/09/2014 - 10:56h

cerqueirabass
(usa Ubuntu)

Enviado em 22/09/2014 - 17:38h

amigo proxy transparente autenticado fica dificil, o que vc pode fazer é utilizar proxy autenticado junto com o wpad que tem a função de atribuir o proxy automaticamente nos navegadores.

alexfelicioni
(usa Debian)

Enviado em 26/09/2014 - 19:55h

acho que esse é o caminho.

Tem alguma ferramenta que dá pra autenticar via browser?
tipo, o cara abre o navegador e é redirecionado para uma página de login, quando ele se autentica aí libera a navegação.
tem algo assim?

l0g1in
(usa FreeBSD)

Enviado em 28/09/2014 - 13:24h

Com página de Login Personalizada, tipo o cara acessou o browser abre uma pagina pedindo login e senha, conheço o Mikrotik HostSpot, é bem banca funciona como firewall, Proxy, Gateway etc... a grande maioria dos provedores de Internet a Rádio usam o Mikrotik. Se você der uma pesquisada encontrar muitos artigos de como criar um HotSpot, pensando nessa ultima questão que você levantou sobre pedir login e e senha, acho que será uma opção bem interessante pra você, pois, será possível você quando o cara conectar em tua rede e abrir o navegador você poderá configurar para que, o próprio usuário crie um login e senha, e esse senha expirar depois de algum tempo, exemplo duas horas, ou pode até mesmo no momento da entrada no hotel, a recepção já gerar a chave da Internet. Existem inúmeras possibilidade basta encontrar a que se adeque melhor a sua situação.


Abraços [];

diogovh
(usa Ubuntu)

Enviado em 09/11/2014 - 21:24h

olá galera se possível gostaria do passo a passo como fazer, pois já subi um servidor proxy transparente mas, não sei como fazer para que o navegador solicite login e senha de usuário para liberar acesso a internet.

nelsonlucas
(usa Debian)

Enviado em 14/11/2014 - 09:21h

Galera, nao seria pedir demais, se pudesse me ajudar nessa situação tambe, pois aqui onde eu trabalho, preciso implantar um servidor de proxy, porm são 248 estações funcionando, e " X " usuarios sendo autenticados no Active Directory de um servidor Windows Server 2008R2. Gostaria que o squid autenticasse o usuário logado na estação, aplicando as permissões atribuidas a eles..