WPAD- vagy automatikus proxy konfigurációs paramétereket - emlékeztet specialista

Hogyan tiltható le az url
Ha az automatikus hálózati beállítást mára „a norma”, még a kisebb hálózatok, akkor automatikusan megkapja a proxy szerver beállításokat mindig okoz némi nehézséget. Ezekre a célokra nincs automatikus konfigurációs protokoll proxy - WPAD-, amely lehetővé teszi, hogy kezelje a forgalom, és rugalmas ahhoz, hogy ne kelljen szabni a böngészők és egyéb hálózati szoftver manuálisan.

Először is, egy kis elmélet. Lássuk, hogy a jegyzőkönyvben és a hálózati szolgáltatásokra van szükség erre.

Tekintsük az alábbi ábra:

Hogyan tiltható le az url
Kérés érkezne a felhasználó böngészőjének próbál találni a helyét a PAC-script segítségével a különböző hálózatait. Először küldött DHCP-lekérdezést, a válasz, amelynek tartalmaznia kell az URL PAC-fájl egy speciális területen válasz, használjuk ezt az opciót 252 DHCP.

Mit jelent ez? Tegyük fel, hogy egy ügyfél van egy domain office.spb.example.com. Az viszont meg fogja keresni a következő állomás:

  • wpad.office.spb.example.com
  • wpad.spb.example.com
  • wpad.example.com
  • wpad.com

Között OC Windows esetén, ha a korábbi próbálkozások nem hoztak eredményt, megkeresi WPAD- WINS-host a szerver és a broadcast protokollok LLMNR (Link-Local Multicast névfeloldás) és az NBNS (NetBIOS Name Service).

Továbbá, biztonsági okokból, a PAC-fájl nem lesz elérhető a helyi hálózaton kívüli.

isPlainHostName (host) - igaz, ha a fogadó - "lapos" host nevét, azaz normál NetBIOS-nevét, stb Ez lehetővé teszi, hogy meghatározza a kezelést, a gazda a helyi hálózaton egy egyszerű név.

dnsDomainIs (host, domain) - igaz, ha a domain a kérés (host) egybeesik egy adott területen irányelvet.

isResolvable (host) - igaz, ha a domain név lehet oldani. A következő utasításokat kell óvatosan kell alkalmazni, ahogyan azt egy további DNS-lekérdezés, ami növelheti a terhelést a szerver és rontja a válaszidő.

shExpMatch (str, shexp) - igaz, ha a húr egyezik a minta, a vonalat lehet használni, mint gazda vagy url, emlékeztetni kell arra, hogy a minta nem egy reguláris kifejezés.

Ezek a lépések elég ahhoz, hogy kellően részletes és elágazó szabályok dolgozni egy proxy szerver. Próbáljuk, hogy egy igazi forgatókönyv.

Először mi jellemző:

E szerint a rekordot, ha a mező egy sor lekérdezés „lapos” nevet, majd visszatért a böngésző DIRECT irányelvet. ami azt jelenti, hogy a proxy nem használható ehhez a kapcsolathoz.

By the way, az első szabály átírható más módon:

A tartományi hálózat, akkor is be kell állítania a közvetlen kapcsolat a belső források:

Hasonlóképpen, akkor be a proxy bármely kritikus a külső forrásokat, mint az online banki vagy elektronikus kereskedési platformok.

Ha a proxy nem kezeli https kéréseket, ők is meg kell küldeni, vegye figyelembe, hogy ahelyett, hogy seregét a szabályt használjuk a url:

Ugyanezt kell tenni ftp kéréseket:

Végül, minden, ami nem esnek a jogot, hogy elküldi a proxy:

Miután foglalkozott azzal a ténnyel, hogy a PAC-fájl lépni gyakorlati végrehajtás forgatókönyvek WPAD- szolgáltatások a hálózaton.

Active Directory hálózat

Mivel minden cikkünket egymásutánban, a további belátható, hogy a WPAD- van kialakítva, hogy működjön együtt a router egy Active Directory hálózat által leírt minket a hurok konfigurálása Squid dolgozni Active Directory. így adott anyag szolgálhat a logikus következtetést.

Kezdjük a DHCP beállításokat, nyissuk meg a megfelelő beépülő modult és lépni a kiszolgálók listáját, kattintson a jobb gombbal az elemre, és válassza ki az IPv4 megadott paraméterek szerint.

Hogyan tiltható le az url
A megnyíló ablakban kattintson az Add

Hogyan tiltható le az url
És töltse ki a mezőket az alábbiak szerint:

Hogyan tiltható le az url

Ezután menj a terület - a terület lehetőségek - konfigurálása és hozzáadása WPAD- lehetőséget teremtett minket.

Hogyan tiltható le az url
Ha a hálózat több mint egy DHCP szerver, akkor kell elvégezni ugyanazokat a beállításokat mindegyik.

GlobalQueryBlockList nyílt lehetőség, és onnét érték WPAD-. akkor a DNS szolgáltatást újra kell indítani.

Hogyan tiltható le az url
Ezt a műveletet kell elvégezni minden egyes DNS-kiszolgáló a hálózaton.

Ezután adjunk hozzá egy bejegyzést az A típusú WPAD host. amelynek lehetővé kell tennie a web szerver PAC-fájlt.

Hogyan tiltható le az url

Ebben a részben azt az esetet IIS. lighttpd és térjenek vissza egy kicsit később, amikor arról beszélünk, ad hoc hálózatok. Nem lakunk a beállítási szerepet Web Server (IIS), egyszerűen megy végig a varázsló lépéseit alapértelmezett.

Hogyan tiltható le az url

Miután telepítette a kapcsolót IIS Manager - Sites - Default Web Site, ahol a beállításokat, válasszuk MIME típusok.

Hogyan tiltható le az url
A megfelelő működéshez a PAC-fájl, egy új típusú MIME, meghatározva a .dat kiterjesztés és írja MIME application / x-ns-proxy-autoconfig.

Hogyan tiltható le az url
A beállítás befejezése után ne felejtsd el újraindítani a webszervert, és tegyük a gyökérkönyvtárban C: \ Inetpub \ wwwroot fájl wpad.dat.

Általános szabály, hogy nincs szükség további lépésekre. Az Internet Explorer és él egy alapértelmezett beállítás automatikusan érzékeli a proxy beállításokat paramétereket. De akkor biztos, és hozzon létre egy külön politikát a GPO, erre használja a Felhasználó konfigurációja - Beállítások - Vezérlőpult beállításai - Internet beállítások.

Hogyan tiltható le az url
Böngészők alapuló Google Chrome (beleértve Opera, Yandex) a megadott beállítások IE. A probléma, mint mindig, előfordulhat Firefox. hogy az alapértelmezett beállításokkal használja a rendszer proxy beállításait figyelmen kívül hagyja őket, és megy közvetlenül, így ezt a lehetőséget meg kell változtatni, hogy automatikusan érzékeli a proxy beállításokat ezen a hálózaton.

Hogyan tiltható le az url
Peer to Peer

Az ad-hoc hálózatokat jellemzően átlátszó proxy, amelyek nem igényelnek a böngésző beállításait, de néhány esetben, például a hitelesítés a szükséges átláthatóságot, hogy megtagadják, ezért van szükség a WPAD. Következő, figyelembe vesszük a példát állítva router beállítva a cikket Ubuntu Server. Konfigurálása a router NAT + DHCP + Squid3.

Mivel a legtöbb esetben felesleges szerverek kis hálózatokban nem, akkor minden szolgáltatás lesz elhelyezve a router. DHCP és DNS-gyorsítótár már van formájában dnsmasq csomagot. valamint egy web szerver, akkor telepítse a könnyű lighttpd. Első pillantásra, amire szüksége van elérhető és bármilyen probléma merülne fel.

Most emlékezzünk, hogy a keresést a PAC-fájl. Ha a böngésző nem kapja meg a szükséges DHCP lehetőségeket, vagy nem kapja meg, ez teszi egy lekérdezést a DNS-host WPAD- az aktuális domain. Mi kifejezetten jelölje kulcsfontosságú pontokat - az aktuális domain. És mi az aktuális domain ad hoc hálózatban? Így van, semmi.

Ennek ellenőrzéséhez ellenőrizze a DNS-utótag az aktuális kapcsolat. Ehhez a PowerShell konzol, futtassa a következő parancsot:

Itt látható a kimeneti parancsokra to-peer hálózat, és a domain hiányában DNS-utótag különbség jól látható „hogy a szabad szemmel.”

Hogyan tiltható le az url
Ha hagyjuk mindent, ahogy van, ugyanaz a Firefox nem lesz képes megszerezni a proxy beállításait, és szükség manuális bemeneti paraméterek. Mit kell tenni? Szerencsére vannak protokoll DHCP opció 015, amely lehetővé teszi át a DNS-utótag kapcsolódik ügyfelek.

Nyílt /etc/dnsmasq.conf és következetesen módosítsa a következő opciókkal:

Ez az opció mutatja, hogy interface31.local tartomány - a helyi és megoldja a neveket az upstream DNS-kiszolgálók nem kell.

DNS-tartománynevet át az ügyfélnek a DHCP opciót 015.

Ez meghatározza a helyét a PAC-fájl.

Hogyan tiltható le az url
Ha helyesen tette - a csatlakozások említett kapcsolattartási utótagot jelenik lapos nevek fogják egészíteni a FQDN. Most akkor folytassa beállítani a webszervert.

Ezután nyissa konfigurációs /etc/lighttpd/lighttpd.conf fájlt, és adjuk hozzá a lehetőséget:

Ez korlátozni fogja a munkát a web szerver csak a helyi hálózaton.

Ezt követően ellenőrizze, hogy a fájl jelen van /etc/mime.types eredménye:

Ha ez a bejegyzés nem, hozzá kell tenni.

Ezen szerver konfiguráció befejeződött, akkor kell helyezni PAC-fájl a / var / www és tesztelje a böngésző.

Mivel az ad-hoc hálózat nem nyújt ilyen lehetőséget a kliens PC menedzsment, mint egy ActiveDirectoryba, intézkedéseket kell tenni, hogy megakadályozzák a Proxykihagyási. Ez lehet véghezvinni iptables. tiltó továbbítását csomagokat a találkozóra a 80. port. De még mindig jobb, hogy másképp.

Az / etc / nat hozzá a következő szabály:

Ez a kialakítás átirányít minden kéréseket a web szerver, vagy egy harmadik fél proxy 80-as portjára a router, amely saját webszerver.

A konfigurációs lighttpd hozzá az opciót (ne felejtsük el, hogy indítsa újra a web szerver):

Most, a / var / www létre index.html fájlt a következő tartalommal:

Ezt követően, amikor megpróbálja a proxyt felhasználó látni fogja az üzenetet:

Hogyan tiltható le az url
Példaként adtunk a legegyszerűbb változata egy oldalt a tilalom, mivel nem zavarja, hogy még inkább informatív, például felteszi neki a rövid utasítást, hogy hogyan hozzanak létre egy független böngészőt.

Ha azt szeretnénk, hogy dolgozni egyes oldalak proxy nélküli, majd adjuk hozzá a megtagadási szabály:

Mint látható, az Automatikus proxy beállításokat egy pillanat alatt, és hatékonyan alkalmazza a technológiát, mind a kis és nagy hálózatok.

További források: