Salve a tutti.

Avrei la necessità di creare un server proxy, che faccia le seguenti operazioni:

- Autenticazione mediante username e password, di ogni singolo utente.
- Non permettere l'accesso siti internet tipo social network.
- Report di orari, utenti e siti visitati. (un report completo)
- Un'interfaccia amministratore.

Ho un pc, predisposto alla funzione di server proxy. Come faccio?

è più comodo utilizzare un programma e acquistarne la licenza? se si quale mi consigliate?

Grazie

Pfsense fa tutto quello che chiedi..

^ this.

io mi trovo molto bene con Endian....

Come ti hanno consigliato sopra buoni prodotti sono sia pfsense che endian, che nascono come firewall, ma hanno anche il pacchetto squid + squidguard x l'utilizzo come proxy. L'alternativa è l'installazione pura e semplice di squid. Tempo fa avevo testato anche Artica, proxy sempre su base squid con interfaccia grafica, non male ma un po' pesantuccia.... L'opzione che io sto usando adesso è pfsense 2.0.1 su piattaforma alix, con pfsense su compact flash, e però hdu da 2,5" su cui andare a scrivere la cache di squid.

L'opzione che io sto usando adesso è pfsense 2.0.1 su piattaforma alix, con pfsense su compact flash, e però hdu da 2,5" su cui andare a scrivere la cache di squid.
Non è che Alix sia proprio il massimo con squid, però con una ADSL normale e poco carico potrebbe anche bastare..

Non è che Alix sia proprio il massimo con squid, però con una ADSL normale e poco carico potrebbe anche bastare..
Si uffcietto con 12 pc e devo dire che va benone....

Sto testando Endian... Vediamo come va:)


Grazie per l'aiuto iniziale! :mc:

Anche partendo da una qualsiasi distribuzione puoi implementare tutto questo semplicemente con:
- squid (proxy)
- squidguard (blacklist)
- sarg (analisi log di squid)

Ho installato endian, e devo dire che con mio stupore ha funzionato.
Ecco la mia configurazione, molto spartana:

http://i46.tinypic.com/3486d61.jpg

da uno dei due pc (che non va su internet) ho inserito l'indirizzo ip della green, e sono riuscito ad entrare nel pc che funge da proxy (http://indirizzoip:porta)

Solo che adesso non riesco a configurare i permessi, gli orari, i log ecc.... ecc...
ad esenpio si può andare su internet solo su autenticazione?

cioè un utente si siede in un pc, e quando prova ad accedere ad internet, gli viene fuori una pagina di login, e dopo aver inserito i dati corretti accede ad internet. Si può fare?
Grazie a tutti per la risposta, se avete una guida per la configurazione interna di endian (magari in italiano), ve ne sarei davvero grato. :mc:

Io lascio perché non l'ho mai usato, casomai dovessi passare a pfsense ti potrei aiutare li..
Comunque dovresti cercare qualcosa tipo "captive portal"
Inviato dal mio MB525

Nemmeno io mai usato, cmq vista la topologia tieni presente che non è necessario usare due schede di rete sul pc che funge da gateway, puoi benissimo segmentare la rete assegnando ip di differenti subnet alla scheda e ad un eventuale alias (dubito fortemente che la connessione wan possa mai arrivare nemmeno lontanamente a saturare la banda di una nic a 100Mbps o Gbps).

Giusto per semplificare la topologia :)

cmq vista la topologia tieni presente che non è necessario usare due schede di rete sul pc che funge da gateway, puoi benissimo segmentare la rete assegnando ip di differenti subnet alla scheda e ad un eventuale alias (dubito fortemente che la connessione wan possa mai arrivare nemmeno lontanamente a saturare la banda di una nic a 100Mbps o Gbps).

Interessante. Ho sempre pensato ad un pc con doppia NIC nei casi di gateway proxy...

Ma se invece di dedicare una macchina a fare proxy mettessimo un semplice firewall hardware?

Come detto in PM, il modulo HotSpot in Endian è a pagamento..

Ho installato e configurato cosi le due schede:

LAN: 192.168.1.254
WAN: 10.0.0.2 (come indicatava la guida di html.it)

Adesso dopo aver inserito in uno dei due pc, questo indirizzo ip:

192.168.1.10
e come default gate e indirizzo ip: 192.168.1.254

sono riuscito ad entrare nel programma di gestione. (spero di non aver fatto danni)

Come faccio ad installare captive portal? Oppure configurare i permessi, gli orari, i log ecc....

GRazie

Ho installato e configurato cosi le due schede:

LAN: 192.168.1.254
WAN: 10.0.0.2 (come indicatava la guida di html.it)

Adesso dopo aver inserito in uno dei due pc, questo indirizzo ip:

192.168.1.10
e come default gate e indirizzo ip: 192.168.1.254

Qual'è l'indirizzo ip del router?

Se dal client rimuovo l'ip del proxy e metto quello del router cosa succede? Eludo il proxy? Come si rende inaccessibile un router?

Il mio indirizzo del router è: 192.168.1.1


Penso che il problema che dici tu, si risolve creando una gestione autenticazione.

Cioè che si collega solo su autenticazione. (forse però...)

:mc:

Il collegamanto deve essere così:
router -> Scheda WAN pfsense
Scheda LAN pfsense -> switch

La WAN e il router devono essere sulla stessa classe
La LAN di pfsense deve essere sulla stessa classe dei PC.

Poi puoi abilitare l'autenticazione in Services > Captive Portal

Il collegamanto deve essere così:
router -> Scheda WAN pfsense
Scheda LAN pfsense -> switch
I collegamenti sono giusti, altrimenti non mi avrebbe fatto entrare nel proramma pfsense. Giusto?

La WAN e il router devono essere sulla stessa classe
La LAN di pfsense deve essere sulla stessa classe dei PC.

Poi puoi abilitare l'autenticazione in Services > Captive Portal

Come indirizzo wan ho il seguente: 10.0.0.2 è corretto?

Indirizzo lan (192.168.1.254) mentre gli indirizzi dei singoli pc:
192.168.1.X


ho abilitato l'autenticazione captive portal. Solo che non capisco come mai una volta inseriti user e password, non va su internet.

I collegamenti sono giusti, altrimenti non mi avrebbe fatto entrare nel proramma pfsense. Giusto?
Come indirizzo wan ho il seguente: 10.0.0.2 è corretto?
Indirizzo lan (192.168.1.254) mentre gli indirizzi dei singoli pc:
192.168.1.X.
Il router non deve più andare nello switch ma SOLO nell'interfaccia WAN del firewall.
Devi poi reimpostarlo su una classe differente (la stessa che darai alla WAN) e reimpostare il DHCP server nella rete con il nuovo gateway 192.168.1.254

Penso di averlo fatto correttamente.

Cioè il cavo, parte dal router e va in una scheda di rete, poi sempre dal pc, con le due schede, nella seconda esce un cavo che va a finire nello switch dove vi sono collegati i due pc.

Ho abilitato il servizio, infatti viene fuori la pagina di login (su uno dei due pc). Solo che una volta inserito user e pass (corretti), non naviga! Come mai?

L'ho già scritto, devi impostare il router e la WAN sulla stessa classe.
Se l'hai già fatto verifica che sull'interfaccia WAN sia correttamente impostato come gateway l'IP del router

Il router non deve più andare nello switch ma SOLO nell'interfaccia WAN del firewall.
Devi poi reimpostarlo su una classe differente (la stessa che darai alla WAN) e reimpostare il DHCP server nella rete con il nuovo gateway 192.168.1.254

Ahh questo post ha chiarito alcuni dubbi sull'implementazione di un proxy. ;)

In realtà se deve fare solo da proxy potrebbe anche avere entrambe le interfacce sulla stessa classe ed entrambe in LAN, ma poi (soprattutto per un utente all'inizio) viene complicato da gestire, visto che va modificato anche il DHCP (e i router generalmente non permettono di inserire un gateway differente)..

Secondo voi è meglio mettere un pc a fare da proxy o prendere direttamente un firewall hardware tipo ZyWALL e simili?

Ma se invece di dedicare una macchina a fare proxy mettessimo un semplice firewall hardware?

proxy e firewall fanno cose un po' diverse....

proxy e firewall fanno cose un po' diverse....

Ho chiesto se potevo bypassare l'utilizzo di un pc dedicato a fare da proxy mettendo invece uno ZyWALL in quanto quest'ultimo mi farebbe anche da "Controllo traffico HTTP/FTP/SMTP/POP3/IMAP4".

In realtà la funzione principale del proxy non è quella richiesta qui (autenticazione) e neppure quelle proposte da Alfonso (controllo traffico), quanto quella di cachare le pagine web per non dover riscaricarle da internet ogni volta.
E se usato in questo senso un normale firewall hardware potrebbe non bastare.
Se invece si vuole usare il proxy solo per le due richieste sopra allora va bene anche un firewall

Mi permetto di segnalarti KATTIVE ( http://www.kattive.it/ )

Fa esattamente quello che ti serve con un "qualcosa in più".

Ciao!

Mi permetto di segnalarti KATTIVE ( http://www.kattive.it/ )

Fa esattamente quello che ti serve con un "qualcosa in più".

Ciao!

Licenza GPL... :eek: Magnifico...!!!

Cosa mi dici per un utilizzo HOTSPOT?

L'idea interessante è il fatto di avere le regole variabili in base all'utente con cui fai l'autenticazione, di contro però potevano creare una Iso già pronta da installare..

Inviato dal mio MB525

L'idea interessante è il fatto di avere le regole variabili in base all'utente con cui fai l'autenticazione, di contro però potevano creare una Iso già pronta da installare..

Inviato dal mio MB525

In effetti vi è la possibilità di scaricare solamente il .tar

Chissà potrei provarlo su Ubuntu...

In effetti vi è la possibilità di scaricare solamente il .tar

Chissà potrei provarlo su Ubuntu...

A dire il vero hanno fatto di meglio facendo già la VM pronta per proxmox : http://www.kattive.it/index.php?option=com_phocadownload&view=category&id=3%3Avarie&Itemid=68&lang=it

Mi preme sottolineare come chi ha fatto tale sistema sia una ditta italiana. :D

Licenza GPL... :eek: Magnifico...!!!

Cosa mi dici per un utilizzo HOTSPOT?

Puoi usarlo anche per un sistema hotspot, perchè se non erro gestisce le regole anche per i punti wifi.

Se non ho capito male basta prendere un semplicissimo pc con due NIC, dotarlo di sistema operativo linux ed installare sopra kattive? O serve SQUID, DANSGUARDIAN e compagnia bella?

Se non ho capito male basta prendere un semplicissimo pc con due NIC, dotarlo di sistema operativo linux ed installare sopra kattive? O serve SQUID, DANSGUARDIAN e compagnia bella?

Da quello che so io fa tutto lui, e squid non è necessario.

L'unica cosa da installare in più se non ricordo male è il pacchetto di apache-ssl

Se tiri giù il tar.gz nel file install.it c'è scritta la procedura.
Ti estrapolo il primo perzzo:


Requisiti minimi del sistema:
- server WEB:
Apache2:
- server WEB Apache2 (htpp://www.apache.org) (in debian apache2)
- modulo apache2-mod-perl (htpp://www.apache.org) (in debian libapache2-mod-perl2)
- perl e sue librerie:
- Perl (min 5.004) (http://www.perl.org) (in debian e' gia' installato di default);
- libreria perl CGI (in debian e' gia' installato di default);
- libreria perl Digest::MD5 (in debian libmd5-perl);
- libreria perl DBI; (in debian libdbi-perl);
- libreria perl NetAddr::IP (in debian libnetaddr-ip-perl);
- libreria perl File::Type (in debian libfile-type-perl);
- database:
a) - mysql (in debian mysql-server);
- libreria perl DBD::mysql; (in debian libdbd-mysql-perl);
- se si utilizza autenticazione esterna tramite LDAP:
a) LDAP con AD:
- libreria perl Net::LDAP (in debian libnet-ldap-perl);
- libreria perl Unicode::String (in debian libunicode-string-perl);
b) LDAP con SAMBA: libreria perl Authen::Smb;
- generiche:
- syslogd (in debian inetutils-syslogd)
- firewall: iptables (in debian iptables [shorewall-perl])
- comando tar (in debian tar)
- comando gzip (in debian gzip)
- comando zip (in debian zip)
- comando logrotate (in debian logrotate)
- comando tc (in debian tcng)
- VPN:
- openvpn (in debian openvpn)

Ok. Grazie delle info. Ho tra le mani un pc con Ubuntu e potrei testare Kattive...

Ok. Grazie delle info. Ho tra le mani un pc con Ubuntu e potrei testare Kattive...

Se hai problemi c'è sia il forum che la mailing list del linuxtrent che possono aiutarti :-)

Se hai problemi c'è sia il forum che la mailing list del linuxtrent che possono aiutarti :-)

;)