есть небольшая сеть, в качетве шлюза 2003 винда. хочется поставить прозрачный прокси сервер,
пробовал ставить юзергад, но чего то не осилил. коробит меня на каждой машине, прописывь адрес прокси для каждого браузера
может конечно у меня руки кривые ...

но я б с удовольствием поставил бы сквид, под винды. но вот не пойму как в этих виндах ловить траффик, и перенаправлять его на 3128

(мне хочется что то установить и настроить только на серваке, и не хочется ходить по клиентам). буду рад любому совету и помощи

коробит меня на каждой машине, прописывь адрес прокси для каждого браузера »
Если домен есть, то это делается через групповые политики.
но я б с удовольствием поставил бы сквид, под винды. но вот не пойму как в этих виндах ловить траффик, и перенаправлять его на 3128 »
А то можно подумать, если бы стоял сквид, то не надо было бы ставить или шлюз по умолчанию или проксю в браузере на всех.

как в этих виндах ловить траффик, и перенаправлять его на 3128 »
А что мешает в проксе указать порт не 8080 а 3128? не вижу проблемы.

А то можно подумать, если бы стоял сквид, то не надо было бы ставить или шлюз по умолчанию или проксю в браузере на всех. »
на фряхе я траф принудительно заворачиваю, и по клиентам не бегаю.
да и сквид мне кажется куда проще чем юзергейт :search:

А то можно подумать, если бы стоял сквид, то не надо было бы ставить или шлюз по умолчанию или проксю в браузере на всех. »
я вас умоляю.

браузеры не только эксплорер.
И самое главное: НЕ ХОЧУ ходить по киентам

может что нить маршрутизацией замутить? или какие есть еще варианты? (кэшировать, блочить, ну может еще считать траф. и чтоб делать это только на серве)

farlow, ну хорошо, давайте по вашему:
сижу я на компе без шлюзов и настроек прокси по умолчанию.... Пишу в строке www.ya.ru.... Машина упорно пытается найти DNS и проверить это имя... Его нет... Смотрит, а наружу запрос не пускает DNS либо его вообще нет. Все мирно обламывается и host not found... ибо маршрутов никаких больше нет...
НЕ ХОЧУ ходить по клиентам »
Ну извините, без беготни я описал - групповые политики домена + DHCP(в случае выставления шлюза)

хорошо, убедили.

на серве настроен DHCP, он сетвым картам говорит где днс, и шлюз. ДНС также стоит на серве

групповые политики домена »
гп работают только для эксплорера

Delirium,

Вы не правы. Технология прозрачного прокси работает на транспортном уровне.
Единственное требование прозрачный прокси ставится на шлюзе по умолчанию, либо шлюз по умолчанию пересылает трафик на прозрачный прокси. Существует даже группа аппаратных кеширующих устройст такого плана.
Естественно, т. к. процес проистекает в тайне от клиента, об аутентификации можно забыть, максимум по MAC.


farlow,
SquidNT такими функциями не обладает.
Более того, если вы настраивали прозрачный прокси под BSD, то скорее всего использовали ipfw, т. е. "заворот" с 80 порта на 3128 осуществляется средствами ОС, а не прокси.

kim-aa, Вы правы, на фре трафи заворачивается посредством ipfw, вот как нить добится бы такого же результата под виндами

farlow,
Как добиться штатными средствами - не знаю
Более того, все комплексные фаерволы с ф-ей прокси+кэширование (которые я видел), вносят свои компоненты в стандартный сетевой слой Windows.
Отсюда возникает нехорошее подозрение, что стандартными средствами вы это не выполните, только установкой какого-либо комерческого продукта.

Кстати, скрипты автонастройки существуют не только для IE

какие предложения? чем пользоваться?

какие предложения? чем пользоваться? »
1) Сколько станций?
2) Сколько и какие браузеры используются?
3) Какие функции нужны (аутентификация в частности)?
4) Сколько денег?
5) Какие объемы?
6) Толщина канала?

не хочется ходить по клиентам »
у меня ISA 2004
на воркстанциях установленны клиенты ISЫ (думаю, они не только для ISЫ) - они автоматически браузер настраивают.

Гм. даже и не знаю. Трафик-Инспектор определяет тип броузера и сам подставляет скрипты автонастройки.
По крайней мере это верно для IE и Opera.

Однако, ИМХО, программа эта кривая и рекомендовать ее я не возьмусь.
===============

На старой работе у нас была достаточно большая и распределенная сеть, (порядка 1000 хостов).
IE брал настройки из доменных политик.
Для Opera и инных браузеров были созданы скрипты конфигурации.

В качестве сервера использовали Squid, но не в прозрачном, а Родном режиме, что было более удобно для привязки прав, балансировки и логов.
===============
В ISA я "чайник", так что извиняйте.

1) Сколько станций?
2) Сколько и какие браузеры используются?
3) Какие функции нужны (аутентификация в частности)?
4) Сколько денег?
5) Какие объемы?
6) Толщина канала? »
1. немногим более 10, но это пока
2. браузеры разные, мазила, опера, эксплорер, версии разные. так сказать у каждого свои предпочтения
3. кэширование, ограничение по направлениям (сайты, сети и т.д.), плюс желательно счетчик траффика, но не критично без него
4. думаю не актуально, хотя и не буду пропогандировать пиратство. бюджет в любом случае не должен превышать стоимость какого нить среднего системного блока, с настроенной фрибсд
5. не понял, но думаю не особо важно
6. 10 мбит

интернет счас раздается простым натом на шлюзе (вин 2003)

Я бы "разорил" контору на данный вариант стоимость какого нить среднего системного блока, с настроенной фрибсд »

Вряд ли вы найдете лучше по соотношению "цена-качество".
Заодно Windows 2003 под что-то более полезное высвободите.

Наиболее же ходовой "вариант", когда один сервер Windows 2003 используется и как файл-сервер, и как сервер приложений (1с) и как терминал-сервер ,и как сервер-печати, и как фаервол и как прокси, - считаю верхом глупости.

kim-aa, я наверно так и сделаю.
просто гдето год назад я поднимал сдесь подобную тему. я и тогда не осилил юзергад :biggrin: . и поставил фряху.
но все таки не ужели нету простых недорогих решений ))

Вы не правы. Технология прозрачного прокси работает на транспортном уровне.
Единственное требование прозрачный прокси ставится на шлюзе по умолчанию, »
Полностью с вами согласен, но не согласен, что я не прав, т.к. без шлюза по умолчанию на клиентах все равно прозрачности не достигнешь. А его либо руками либо DHCP, о чем я писал :)

считаю верхом глупости »
не вверх - это + AD
прозрачности не достигнешь »
это, а прозрачность это вообще как?

прозрачность это вообще как »

"Прозрачный прокси".
Фильтрует весь трафик по порту получателя, обычно это 80, 8080.
Заворачивает его на порт программы прокси-сервера.

По сути используются 2 компоненты:
- компонента шлюза, которая анализирует используемые транспорт/номер порта получателя (в нашем случае это http) и пересылает его куда либо, на какой-либо порт согласно правилам.
В ходовом случае (FreeBSD+ipfw+Squid) с заворот осуществляется на localhost:порт (где "порт" обслуживает Squid).
С точки зрения теории это частный случай "маршрутизации по правилам/политикам" (в нотации Cisco).
Либо можно рассматривать как помесь "обратного NAT/PAT".

- собственно программа Proxy, которая умеет обрабатывать "завернутый" трафик

"Плюс" заключается в том что клиент и не подозревает о такой операции.
"Минус" - нестандартные порты не обслуживаюся, аутентификация средствами прокси ограничена.

Вобще исходя из типового функционала использования, правильнее назвать его "прозрачным кэш-прокси",
т. к. обычно он используется для принудительного кэширования трафика.

но все таки не ужели нету простых недорогих решений »

- Для функции кэширования - нет (недорогих).
- Для фильтрации, в том числе и black-листами - аппаратные устройства.
Вариантов море. Хошь Panda, хошь Cisco, хошь Juniper, хошь Zyxel, хошь D-Link

"Минус" - нестандартные порты не обслуживаюся, аутентификация средствами прокси ограничена. »
можно пример, когда утентификация ограничена