弊社では、何らかの訪問者向けワイヤレス アクセスを設定することを検討していますが、インターネット接続はすべて外部プロキシ経由で実行されます。
訪問者に Web に接続する前にプロキシ設定を入力する方法を説明するのに多くの時間を費やした後、エンド ユーザーの観点からもう少しシンプルなソリューションを検討する時期が来たと感じています。
当初の考えでは、プロキシ サーバーを選択できる WAP を購入すればよいのですが、実際にはこれは非常にまれで高価なオプションのようです (以前、同様の目的で ZyAIR G-4100 を使用した経験がありますが、これは非常に信頼性が低いものでした)。
少し調べてみたところ、最も一般的な答えは、モデムとスイッチの間に Squid を実行する Ubuntu ボックスを使用して透過プロキシを設定することであるようです。
これは最も賢明なアイデアのように思えますか、それとも私が物事を複雑にしすぎているのでしょうか?
編集 もう一つの問題は、ルーターからもロックアウトされてしまい、プロキシをバイパスする別のサブネットを作成して試すことができないことです。
答え1
あなたのレイアウトは完全に理解していると思いますが、訪問者にインターネット アクセスを提供したいだけであれば (プロキシを使用するかどうかはまったく気にしない)、エッジ ファイアウォール/ルーターに別のレッグ (それが可能であると仮定) を追加し、そのレッグに Wi-Fi ルーターをブリッジして、それに応じてルーティング/フィルター処理してみてはいかがでしょうか。
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
答え2
SmoothWall、Endian、その他の同様の「脅威管理」システムを検討してみるとよいでしょう。これらは基本的に、透過プロキシ (主に Web と電子メール) が統合された本格的な nix ベースのファイアウォールです。
答え3
訪問者がプロキシを通過するかどうかを気にしない場合は、ポート 80 トラフィックをブロックするルールに例外を追加するだけです。ゲスト ネットワーク用の VLAN を作成し、その IP 範囲からのトラフィックがファイアウォールの内部インターフェイスのポート 80 を使用できるようにします。(または、そこでブロックした場合は外部)
答え4
ネットワークの整合性を気にするなら、ゲストに接続させないでください。@gravyface の説明に従って、ファイアウォールで保護された代替ネットワークをプロビジョニングしてください。
最も一般的な答えは、透過プロキシを設定すること、つまりSquidを実行することであるようです。
いいえ、それでは問題は解決しません。これを透過プロキシとして設定すると、プロキシの証明書によって作成された不正な SSL 警告をクリックせずに、SSL を使用してサイトに接続できなくなります。また、MITM を使用したり、CA 証明書をコンピュータにインストールするように依頼したりしても、解決にはなりません。
しかし、ルーターからもロックアウトされてしまいました
そうすると、ネットワークを制御できなくなり、この方法でシステムを展開しようとしないか、プロバイダーを変更する必要があります。