WPAD sau configurare automată proxy parametri - note de specialitate

Dacă setarea automată de rețea a devenit acum „norma“, chiar și în rețele mici, apoi se obține în mod automat setările de server proxy cauzează încă unele dificultăți. Pentru aceste scopuri, nu există nici un automat proxy protocol de configurare - WPAD, care vă permite să gestionați de trafic și să fie suficient de flexibile pentru a evita pentru a personaliza browsere și alte aplicații software de rețea manual.

În primul rând, o mică teorie. Să vedem cum sunt necesare protocolul și care serviciile de rețea pentru acest lucru.

Luați în considerare următoarea diagramă:

Primirea unei solicitări din browserul utilizatorului încearcă să găsească locația PAC-script folosind diferite aranjamente de rețea. Mai întâi a trimis DHCP-interogare, răspunsul la care trebuie să conțină URL-ul PAC-fișier într-un răspuns special de câmp, este utilizat pentru această opțiune este 252 DHCP.

Ce înseamnă? Să presupunem că un client este într-un domeniu office.spb.example.com. rândul său va căuta următoarele gazde:

• wpad.office.spb.example.com
• wpad.spb.example.com
• wpad.example.com
• wpad.com

Printre OC Windows, dacă încercările anterioare nu au dat rezultate, căutările pentru WPAD WINS-gazdă pe server și prin protocoalele de difuzare LLMNR (Multicast Name Resolution Link-local) și NBNS (NetBIOS Name Service Design).

De asemenea, din motive de securitate, PAC-fișier ar trebui să nu fie accesibile în afara LAN.

isPlainHostName (gazdă) - valabil în cazul în care gazda - „plat“, numele de gazdă, adică NetBIOS-nume normale, etc. Aceasta permite determinarea tratamentului la gazdele de pe rețeaua locală printr-un simplu nume.

dnsDomainIs (gazdă, domeniu) - adevărat dacă domeniul în cerere (gazdă) coincide cu o directivă de domeniu dat.

isResolvable (gazdă) - true dacă numele de domeniu pot fi rezolvate. Următoarele instrucțiuni trebuie utilizat cu precauție, așa cum o face un DNS-interogare suplimentară, care poate crește sarcina pe server și să degradeze timpul de răspuns.

shExpMatch (str, shexp) - true dacă șirul se potrivește cu modelul, o linie poate fi utilizată ca gazdă sau URL-ul, trebuie amintit faptul că modelul nu este o expresie regulată.

Aceste etape sunt suficiente pentru a face o norme suficient de detaliate și ramificate, pentru a lucra cu un server proxy. Să încercăm să facem un scenariu adevărat.

În primul rând am caracteristică:

Conform acestei înregistrări, în cazul în care câmpul conține o interogare gazdă „plat“, numele, apoi a revenit la directiva DIRECT browser-ul. ceea ce înseamnă că proxy-ul nu trebuie utilizat pentru această conexiune.

Apropo, prima regulă poate fi rescrisă într-un mod diferit:

Într-o rețea de domeniu, trebuie, de asemenea, să configurați o conexiune directă la resursele interne:

În mod similar, puteți trimite un proxy prin orice resurse externe critice, cum ar fi servicii bancare online sau platformele electronice de tranzacționare.

Dacă serverul proxy nu se ocupa cu https cereri, ei, de asemenea, ar trebui să fie trimise de către, nota că, în loc de gazdă în regulă folosim adresa URL:

Același lucru trebuie făcut pentru cererile FTP:

În cele din urmă, tot ceea ce nu se încadrează în niciuna din dreptul de a trimite la proxy:

Având în tratate cu faptul modul în care PAC-fișier trece la servicii practice WPAD scenarii de implementare în rețea.

rețea Active Directory

Din moment ce toate articolele noastre de succesiune, în continuare se va înțelege că WPAD este configurat pentru a lucra cu router-ul într-o rețea de Active Directory, descris de noi în bucla Configurarea Squid pentru a lucra cu Active Directory. astfel, materialul dat poate servi concluzia logică.

Să începem cu setările DHCP, deschideți utilitarul de completare snap-in corespunzătoare și trece la lista de servere, faceți clic dreapta pe elementul respectiv și selectați parametrii predefinite IPv4.

În fereastra care se deschide, faceți clic pe Adăugați

Și completați câmpurile după cum urmează:

După aceea, du-te la zona - Opțiuni zona - Configurare și adăugați o opțiune WPAD ne-a creat.

Dacă rețeaua este mai mult de un server de DHCP-, trebuie să efectuați aceleași setări pentru fiecare dintre ele.

GlobalQueryBlockList opțiune deschisă, și a plecat de acolo WPAD valoare. atunci serviciul DNS trebuie să fie repornit.

Această operație trebuie efectuată pe fiecare DNS-server de pe rețea.

Apoi se adaugă o intrare pentru tipul de o gazdă WPAD. care ar trebui să conducă la un server de web cu PAC-fișier.

În această parte, considerăm cazul cu IIS. lighttpd și pentru a reveni un pic mai târziu, atunci când vorbim despre rețelele ad-hoc. Nu vom insista asupra rolului de configurare Web Server (IIS), pur și simplu trece prin toate etapele implicit expertul.

După ce instalați comutatorul în IIS Manager de - Site-uri - Site-ul Web implicit în care setările, selectați Tipuri MIME.

Pentru buna funcționare cu PAC-fișier, adăugați un nou tip de MIME, specificând extensia .dat și tipul aplicației MIME / x-ns-proxy-autoconfig.

După finalizarea acestei setări nu uitați să reporniți serverul de web și puneți-l în directorul rădăcină C: \ inetpub \ wwwroot fișier Wpad.dat.

De regulă, nu este necesară nicio altă acțiune. Internet Explorer și Edge au setarea automat o valoare implicită a detecta parametrii setărilor proxy. Dar poate asigura și de a crea o politică separată pentru GPO, pentru a utiliza User Configuration - Settings - Control Panel Settings - Setări Internet.

Browserele bazate pe Google Chrome (inclusiv Opera, Yandex), utilizând setările specificate pentru IE. Problema, ca întotdeauna, apar cu Firefox. care cu setările implicite Utilizați setările proxy de sistem le va ignora și merge direct astfel încât această opțiune ar trebui să fie modificate pentru a detecta automat setările proxy pentru această rețea.

Peer to Peer

În ad-hoc rețele sunt utilizate în mod obișnuit proxy-uri transparente care nu necesită setările browser-ului, dar în unele cazuri, de exemplu, pentru autentificarea transparența necesară pentru a refuza, prin urmare, este nevoie de WPAD. În continuare, vom lua în considerare exemplul de setare a unui router configurat pentru acest articol: Ubuntu Server. Configurarea router NAT + DHCP + Squid3.

Deoarece în cele mai multe cazuri, serverele care nu sunt necesare în rețele mici nu, atunci toate serviciile vor fi localizate în interiorul router. DHCP și DNS cache avem deja sub forma pachetului dnsmasq. precum și un server de web, puteți instala lighttpd ușor. La prima vedere, tot ce ai nevoie este disponibil și ar trebui să apară probleme.

Acum, să ne amintim cum de căutare pentru PAC-fișier. În cazul în care browser-ul nu este primit de opțiunile DHCP necesare sau nu poate primi, face o interogare la WPAD DNS-gazdă în domeniul actual. Subliniem în mod special punctele cheie - în domeniul curent. Și ce este domeniul de curent într-o rețea ad-hoc? Așa e, nimic.

Pentru a verifica acest lucru, verificați DNS-sufixul conexiunii curente. Pentru a face acest lucru în consolă PowerShell, executați următoarea comandă:

Iată comenzile de ieșire la egal la egal de rețea, și domeniul în absența diferenței DNS-sufix clar vizibile „cu ochiul liber.“

Dacă lăsați totul așa cum este, în același Firefox nu va putea obține setările proxy și va necesita introducerea manuală a parametrilor. Ce să fac? Din fericire, există protocol de opțiune DHCP 015, care permite transferul de DNS clienții conectat-sufixe.

Deschideți /etc/dnsmasq.conf și modificați în mod consecvent următoarele opțiuni în ea:

Această opțiune indică faptul că domeniul interface31.local - locale si rezolva numele sale pe amonte DNS-serverele nu ar trebui să fie.

nume DNS-domeniu este transferat la client în opțiunea DHCP 015.

Acesta specifică locația PAC-fișier.

Dacă făcut în mod corect - conexiunile de contact menționat sufix apare numele plate vor fi completate cu FQDN. Acum puteți continua pentru a configura serverul de web.

Apoi, deschideți fișierul de configurare /etc/lighttpd/lighttpd.conf și adăugați opțiunea:

Acest lucru va limita activitatea serverului web numai rețeaua locală.

După aceea, asigurați-vă că fișierul este prezent de înregistrare /etc/mime.types:

În cazul în care această intrare nu este prezent, ar trebui să fie adăugată.

Pe această configurație server este completă, este necesar de a plasa PAC-fișier în directorul / var / www și testa browser-ul.

Având în vedere că rețeaua ad-hoc nu oferă astfel de oportunități pentru managementul PC-uri client ca un ActiveDirectory, trebuie luate măsuri pentru a preveni bypass-ul proxy. Acest lucru se poate face prin iptables. care interzice redirecționarea de pachete la numirea pe portul 80 de ani. Dar este mai bine să facă altfel.

/ Etc / add nat următoarea regulă:

Acest design va redirecționa toate cererile de pe un server web sau un proxy terță parte la portul 80 de pe router, care are propriul server de web.

Lighttpd de configurare se adaugă opțiunea (nu uitați să reporniți serverul de web):

Acum, în / var / www a crea un fișier index.html cu următorul conținut:

După aceea, atunci când încercați să ocolească utilizatorul proxy va vedea mesajul:

Ca un exemplu, ne-am dat cea mai simplă versiune a unei pagini a interdicției, deoarece nu interferează pentru a face mai informativ, cum ar fi postarea instrucțiunile ei scurte cu privire la modul de a crea un browser independent.

Dacă doriți să permiteți să lucreze cu unele site-uri fără un proxy, apoi se adaugă la regula nega:

După cum puteți vedea, setați setările de Auto proxy este într-o clipă, și se poate aplica în mod eficient tehnologia în ambele rețele mari și mici.

Resurse suplimentare: