우리 회사를 위한 방문자 무선 액세스를 설정하려고 하는데 인터넷 연결이 모두 외부 프록시를 통해 실행됩니다.
방문자가 웹에 연결하기 전에 프록시 설정을 입력하는 방법을 방문자에게 설명하는 데 많은 시간을 낭비한 후에 최종 사용자 관점에서 좀 더 간단한 솔루션을 살펴볼 때라고 생각합니다.
나의 초기 아이디어는 프록시 서버를 선택할 수 있는 WAP를 구입할 수 있다는 것이었지만 실제로는 이것은 상당히 드물거나 비용이 많이 드는 옵션인 것 같습니다. (저는 이전에 비슷한 용도로 ZyAIR G-4100을 사용한 경험이 있지만 이것은 상당히 신뢰할 수 없음)
약간의 연구에 따르면 가장 인기 있는 답변은 모뎀과 스위치 사이에서 Squid를 실행하는 Ubuntu 상자를 사용하여 투명 프록시를 설정하는 것 같습니다.
이것이 가장 합리적인 생각처럼 들리나요? 아니면 제가 일을 너무 복잡하게 만들고 있나요?
편집 내 다른 문제는 라우터도 잠겨 있어서 프록시를 우회하는 별도의 서브넷을 만드는 작업을 할 수 없다는 것입니다.
답변1
나는 귀하의 레이아웃을 완전히 이해한다고 확신하지만 방문자에게 인터넷 액세스를 제공하고 싶고 프록시를 사용하는지 전혀 신경 쓰지 않는다면 가장자리 방화벽/라우터에 다른 다리를 추가하는 것이 좋습니다(가정). 그렇게 할 수 있음) Wi-Fi 라우터를 해당 구간에 연결하고 그에 따라 라우팅/필터링하시겠습니까?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
답변2
기본적으로 투명 프록시(주로 웹 및 이메일)가 통합된 완전한 기능을 갖춘 nix 기반 방화벽인 SmoothWall, Endian 및 기타 유사한 "위협 관리" 시스템을 살펴볼 수 있습니다.
답변3
방문자가 프록시를 통과하는지 여부에 관심이 없다면 포트 80 트래픽을 차단하는 규칙에 예외를 추가하기만 하면 됩니다. 게스트 네트워크에 대한 VLAN을 생성하고 해당 IP 범위의 트래픽이 방화벽 내부 인터페이스의 포트 80을 사용하도록 허용합니다. (또는 그곳에서 차단한 경우 외부)
답변4
네트워크의 무결성이 중요하다면 게스트가 네트워크에 연결하는 것을 허용하지 마세요. @gravyface의 설명에 따라 대체 방화벽 네트워크를 프로비저닝합니다.
가장 인기 있는 답변은 투명한 프록시를 설정하는 것 같습니다...오징어 실행
아니요, 그렇다고 해서 문제가 해결되지는 않습니다. 이것을 투명 프록시로 설정하면 프록시의 인증서에 의해 생성된 잘못된 SSL 경고를 클릭하지 않고는 누구도 SSL을 사용하는 사이트에 연결할 수 없습니다. 그리고 MITM을 사용하여 컴퓨터에 CA 인증서를 설치하도록 요청하는 것은 해결책이 아닙니다.
하지만 라우터도 잠겨 있어요
그러면 귀하는 네트워크를 통제할 수 없으며 이러한 방식으로 시스템을 배포하려고 시도해서는 안 되거나 공급자를 변경해야 합니다.