我正在考慮為我們公司設置某種訪客無線訪問,但是我們的互聯網連接都是透過外部代理運行的。
在浪費了很多時間向訪客解釋如何在連接到網路之前輸入代理設定之後,我覺得是時候考慮一個從最終用戶角度來看更簡單的解決方案了。
我最初的想法是我可以購買一個 WAP,它允許我選擇代理伺服器,但實際上這似乎是一個非常罕見或昂貴的選擇(我以前有過使用 ZyAIR G-4100 進行類似操作的經驗,但這是相當不可靠)
根據一些研究,最受歡迎的答案似乎是使用在數據機和交換器之間運行 Squid 的 Ubuntu 盒子來設定透明代理。
這聽起來是最明智的想法還是我把事情過於複雜化了?
編輯忘記提及我的另一個問題是我也被鎖定在路由器之外,因此無法創建繞過代理的單獨子網。
答案1
我完全確定我理解您的佈局,但如果您只想為訪問者提供互聯網訪問權限(並且根本不關心他們是否使用代理),為什麼不向您的邊緣防火牆/路由器添加另一條腿(假設它可以做到這一點)並將Wi-Fi 路由器橋接到該支路並相應地路由/過濾?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
答案2
您可以看看 SmoothWall、Endian 和其他類似的「威脅管理」系統,它們基本上是成熟的基於 nix 的防火牆,具有整合的透明代理(主要是 Web 和電子郵件)。
答案3
如果您不關心訪客是否通過代理,您所要做的就是向阻止連接埠 80 流量的規則新增例外。為訪客網路建立一個 VLAN,並允許來自該 IP 範圍的流量使用防火牆內部介面上的連接埠 80。 (或者如果你把它擋在外面)
答案4
如果您關心網路的完整性,請不要讓訪客連接到它。按照 @gravyface 的描述配置備用的防火牆網絡
最受歡迎的答案似乎是設置透明代理......運行魷魚
不,這並不能解決你的問題。如果您將其設定為透明代理,那麼沒有人能夠在不點擊代理上的憑證所建立的錯誤 ssl 警告的情況下使用 SSL 連線到任何網站。使用 MITM /要求他們在他們的電腦上安裝您的 CA 證書並不是解決方案。
但我也被鎖在路由器外
那麼您就無法控制您的網絡,或者您不應該嘗試以這種方式部署系統,或者您應該更換您的提供者。