Transparent proxy casalingo

[gibsong3]

Buongiorno ragazzi,
Mi hanno chiesto se in una rete domestica, un proxy transparent su un pc se cui è installato Squid + Squidguard oppure Pfsense e una sola scheda di rete(!) si può fare. Penso di no, ma voi che ne pensate?
In ufficio l'ho fatto con squid e squidguard, ma avevo un firewall che reindirizzava il traffico sul proxy e poi l'ho fatto con due schede di rete, sia con squid che con pfsense. Però la richiesta nasce da una esigenza casalinga, dove non è possibile configurare i client, con i router "fibra" di Vodafone, fastweb, Telecom...
Sarei contento se mi diceste che si può fare con una scheda di rete e come.
Mirko

 

[alex87alex]

Si puó fare senza problemi, il traffico passa su una porta specifica e non è necessaria una scheda dedicata.

Il "come" é abbastanza semplice, di default squid per esempio funziona mono-scheda di rete, configuralo poi se non va gli dódun occhio

 

[gibsong3]

Ciao,
Scusa il mio ritardo e grazie per la risposta.
Provo da una Vodafone revolution...

 

[gibsong3]

Mah! Nelle impostazioni della vodafone station posso gestire l'associazione delle porte in modo da portermi connettere su un ip lan fornendo porte diverse (insomma il port forward). Poi c'e la possibilità di gestire il triggering delle porte. Ma non so come fare per indirizzare il traffico http e https sul proxy?

 

[alex87alex]

Attento, stai sbagliando. Il proxy lo fa un ip della tua lan, lascia stare la vodafone station che non centra niente.

Quindi se la tua rete è di classe 192.168.1.0/24 ci sarà un pc con ip ad esempio 192.168.1.253 che funge da proxy e un pc che vole usarlo come proxy che ha ip 192.168.1.10 che deve impostare sulle opzioni internet->connessioni lan (parlo di windows) 192.168.1.253 e porta dedicata (ad esempio 3128 per squid)

Non devi assolutamente esporre il proxy all'esterno e fare un port forwarding, oltre che inutile è anche pericoloso

Edit: ovviamente tutto il traffico passerà per il proxy, quindi automaticamente sia http che https passeranno da li)

 

[gibsong3]

Ciao,
Sono riuscito a farlo funzionare come hai descritto, ma la domanda iniziale era se posso configurare il proxy come transparent con una sola scheda di rete. Credo di no, come ho scritto sul mio primo messaggio!
Sulla Vodafone station, volevo capire se c'era modo di reindirizzare il traffico della lan verso il proxy, certamente senza esporlo all'esterno, come mi hai detto anche tu!
Ho già provato con due nic e pfsense funziona bene come transparent.

 

[alex87alex]

Ho risposto alla domanda, trasparent o no non cambia il principio di funzionamento, con una sola scheda di rete funziona senza problemi, ma se non ti fidi di me...

https://superuser.com/questions/492128/squid-transparent-proxy-with-nics-on-same-subnet

 

[gibsong3]

Alex,
Innanzitutto ti ringrazio e non dire che non mi fido. Quello che vorrei realizzare con il proxy è che non vorrei configurarlo in ogni client che accede alla rete, transparent appunto, ma con una sola nic. Spulciando in rete non ho trovato niente

 

[alex87alex]

Trasparent non vuol dire quello, quello che vuoi tu è forzare il proxy per tutta la subnet (trasparent e non). Con un solo nic e un router della vodafone uello che puoi fare senza tanti sbattimenti è creare una vlan su pfsense e fai puntare il router direttamente su pfsense e deleghi a lui il compito di gateway.

Le prestazioni però saranno un pò scarse, ma almeno già lo sai fare....

 

[gibsong3]

La definizione di transparent la intendo come esposta qui: https://tools.ietf.org/html/rfc2616
Comunque avrei risolto se la vodafone revolution mi permettesse di configurare i dns e il dhcp