Win2003 (DC.AD.DNS.DHCP) как направить http трафик через прокси?
 

Всем здравствуйте!
Возможно тема разжёвана, но мне не удалось найти (если ткнёте носом буду рад :) )

Суть такова:
Есть Домен на Win2003 Server (ip 192.168.0.250), тут же настроен ДНС и ДХЦП.

Сессию интернет поднимает роутер (ip 192.168.0.1), который и был прописан как шлюз.

закинул на машину (этот же сервер на 2003) сквиду виндовую, её полёт вроде нормальный.

Вопрос следующий: как весь http трафик направить через проксю?

Спасибо!

Вот ipconfig на ПК в сети

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ether
net NIC
Физический адрес. . . . . . . . . : 00-1A-8D-3F-5В-55
DHCP включен. . . . . . . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.0.155
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.250
192.168.0.1
Основной WINS-сервер . . . . . . : 192.168.0.250

Вариант1:
1. В настройках фильтров роутера запретить исходящий трафик (кроме адреса сервера) на порты HTTP (80,3128,8080 ...)
2. Клиентам задать настройки прокси в их приложениях (либо групповой политикой для IE, либо через reg-файлы для остальных браузеров); можно настроить автоматическое обнаружение через WPAD (Настройка поддержки WPAD для веб прокси и Firewall клиентов )

Вариант2:
Если не требуется прямой (без прокси) выход клиентов в Интернет, то можно убрать из DHCP "шлюз по-умолчанию" - тогда клиентам придется обращаться на proxy по любому (но это не спасает от пользователей, которые сами могут изменить настройки TCP/IP), но WPAD все равно актуален.


Долнительные замечания:
1. Имеет смысл проверить, чтобы на роутере не был включен DHCP.
2. "Адрес DNS-сервера" имеет смысл указывать только внутренний сервер, а на нем оставить корневые ссылки для разрешения имен.

---
PS: есть вариант прозрачного перенаправления трафика HTTP на прокси, но это умеют делать только коммутаторы уровня L4.

Вариант 2 кажется более приемлемым. Но тут вопрос:
1. Если сделать вот так как во вложении будет ли работать? т.е. если предпочтительным поставить ip моего сервера (192.168.0.250) ?
2. Если убрать шлюз по умолчанию, то как/где всем пользователям домена указать где прокси?

На роутере дхцп выключен - моя машина (192.168.0.250) является dhcp сервером
и недопонял смысл имеется ввиду оставить только один днс сервер 192.168.0.250 ?

я ставил 2м днсом айпи шлюза потому как при проблемах с электричеством в моё отсутствие минимум инет будет работать...

Работать будет, но есть несколько "но", поэтому рекомендую только собственный DNS-сервер с корневыми ссылками.

Да. Как раз относилось к вложенной картинке.

Прокси и шлюз по-умолчанию - совершенно разные вещи!
Прокси для IE можно указать в групповой политике (в домене), прокси для Opera и т.п. можно указывать либо автоматически (через WPAD), либо вручную каждому пользователю, либо автоматическим скриптом (через групповую политику), который будет в реестр вносить информацию, необходимую конкретному браузеру.

От проблем с электричеством можно UPS поставить :)

Спасибо за советы. Завтра попробую оставить один днс - своего сервера.
Огромное спасибо за WPAD - с этим прежде не был знаком...почитал - отличная вещь, правда у многих так и не заработало... )))

Я сейчас задумался....
Мне, в принципе, для распределения прав на доступ к инет ресурсам достаточно будет указать прокси для IE в GPO и также для других браузеров скриптами (что, как читал, очень проблематично и сложно разрешимо - и это опять возвращает к мысли настроить WPAD, для которого сервер должен быть клиентом DHCP и пользователи локальными админами, что не есть удобно).
Если убрать шлюз по умолчанию, то доступ в инет либо через прокси, либо никак (при условии, что пользователи не могут изменять настройки TCP/IP)

Ведь так?