iT邦幫忙

0

Proxy 架構,特定 IP 不走 Proxy

請問一下,若在公司裡,要設定使用者的電腦上網都要走Proxy。但是如果電腦設定了特定的IP,就可以不用走Proxy上網,這種方式它的網路架構是長什麼樣咧。
我們公司目前就是這樣,一般DHCP的電腦上外部網路要在IE內設定Proxy才行,但某幾個固定IP是不需要設定Proxy就可以直接上外部網路的。
我在書上看到用ISA架的Proxy本身也是有Routing的功能,所以要上到Internet一定會經過這台Proxy server,可是以這種架構來看,應該就沒辦法說特定的IP可以不用經過這台server。所以很想知道這種特定IP不用過Proxy 的實體架構是怎麼建的。感謝。

pqr0007 iT邦研究生 1 級 ‧ 2012-01-11 23:27:42 檢舉
固定 IP 好用?? 還是, 流動 IP 好用?? ...
4
don01310
iT邦新手 5 級 ‧ 2012-01-16 13:10:10
最佳解答

如果電腦設定了特定的IP,就可以不用走Proxy上網,關於這一點,如果不參考技術本身的話,直接再外接一台nat伺服器讓特定的IP指向這一台,就可以達到你要的目地了!!

12
vino1
iT邦大師 1 級 ‧ 2012-01-11 12:33:42

因為不了解貴司的網路架構
以俾公司來講, 員工上網都透過 proxy , 老闆直接出去
從防火牆設定, 只有老闆跟 proxy server 的 IP 可以由 default gateway 走 80 跟 443 出去, 其餘的 IP 到 gateway 的 80 及 443 等都 block,
這樣 user 就只能乖乖瀏覽器設定 proxy 上網, proxy 設定統一由 GPO 派送~

6
sl6xx
iT邦研究生 5 級 ‧ 2012-01-11 20:22:14

以Linux當router為例(因為我只熟這個),需要裝上squid這個proxy套件。把它設定成transparent proxy,使用者就不需在browser裡面作特別的設定,就可以(被強迫)經過這個proxy。這個網路上就可以查到很詳細的方法,例如鳥哥的網站。

比較複雜的地方,在於某些來源或目的IP需要bypass這個proxy。因為transparent proxy用到nat這個table,大概的作法就是在這個table裡面加PREROUTING的rule,讓這些IP可以直接跳過proxy。不過我是建議來源IP的話用mac比較好。有些人就是愛挑戰MIS。

有一套現成的linux firewall distro,叫做endian firewall。當初我有mail給那個development team,拜託他們加上bypass proxy的功能。不知道是不是這個原因,後來真的有加上這個功能。不過在那之前,我已經改自己兜,不再用那一套了。也許您可以裝在virtual machine裡面試試看。

8
gsg29
iT邦新手 1 級 ‧ 2012-01-12 14:21:45

不曉得您的proxy是用什麼架的
如果是linux squid,基本上從firewall下手就可以了

#特定ip不通過proxy
iptables -A PREROUTING -t nat -s 192.168.1.5 -j ACCEPT
iptables -A FORWARD -s 192.168.1.5 -p tcp -j ACCEPT

#將192.168.1.0網段所有ip的80port導入proxy 3128
iptables -t mangle -A PREROUTING -p tcp -d 192.168.1.0/16 --dport 80 -j MARK --set-mark 0x1
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.0/16 --dport 80 -m mark --mark 0x1 -j REDIRECT --to-ports 3128

8
nitro
iT邦新手 4 級 ‧ 2012-01-12 15:16:45

這跟我們作法一樣,主要有以下步驟

  1. DHCP: 設定保留區給主管的MAC以取得相同IP
  2. Firewall: 真對Proxy與主管保留IP設定開放必要的服務
  3. AD GPO: 針對需使用Proxy與不需使用的OU分別設定GPO或進行繼承阻斷動作, 使用者即可取得正確的相關上網設定
6
jccching
iT邦新手 4 級 ‧ 2012-01-12 17:49:31

大家作法都相同也:

1、Firewall:直接設定一段 Range ,例如 192.168.1.0/28 留這些 ip 可以直接上 Interlnat。

2、DHCP:將主管的任何 3c MAC 值綁你設定在 Firewall 的 ip。

比較要注意的是:記得要註解這個 ip 是誰用的,時間會沖淡一切,到時忘了是誰刪除可就不好玩了。

4
aaron3399
iT邦新手 3 級 ‧ 2012-01-13 09:34:56

我們的作法不太一樣,都從proxy server設定.

1.Firewall限制所有DHCP對外連網
2.所有DHCP上網都要經過proxy, 並由proxy限制只能存取list內的網站.
3.proxy設定特定IP不限制存取.

看更多先前的回應...收起先前的回應...
vino1 iT邦大師 1 級 ‧ 2012-01-13 10:09:33 檢舉

這...因為我們老闆不想上網有紀錄, 所以直接跳過 proxy

vino1 iT邦大師 1 級 ‧ 2012-01-13 10:09:33 檢舉

這...因為我們老闆不想上網有紀錄, 所以直接跳過 proxy

怎不叫他申請3.5G自己用就好了

aaron3399 iT邦新手 3 級 ‧ 2012-01-13 21:31:03 檢舉

原來你老板也很懂哦~~

vino1 iT邦大師 1 級 ‧ 2012-01-13 23:41:31 檢舉

3.5G 速度不快呀, 公司上網那條線是 50MB 的企業級光世代..
老闆...本身對資訊相關技術略懂..連電腦都不願 join domain..

跟董娘報告
老闆不乖乖接受監控 XD

跟董娘報告
老闆不乖乖接受監控 XD

我要發表回答

立即登入回答