Comments 14
Еще одна статья «Как настроить WCCP» =)
А какой смысл ВЕСЬ трафик заворачивать на сквид? Ведь некоторые протоколы не смогут нормально работать со сквидом в transparent режиме (SSL, например).
Есть более интересные решения.
Есть более интересные решения.
Ну да, не заметил any eq www
В дополнение, альтернативные решения:
При не больших объемах (как пользователей, так и правил фильтрации), можно просто использовать url filtering на asa.
ссылка
Ну а если у вас много пользователей, и много правил, то более популярная связка ASA & Websense
youtube url.
p.s. Вы в энтерпрайз внедрили связку? Было бы хорошо в будущем, отписаться о впечатлениях.
Спасибо.
При не больших объемах (как пользователей, так и правил фильтрации), можно просто использовать url filtering на asa.
ссылка
Ну а если у вас много пользователей, и много правил, то более популярная связка ASA & Websense
youtube url.
p.s. Вы в энтерпрайз внедрили связку? Было бы хорошо в будущем, отписаться о впечатлениях.
Спасибо.
Энтерпрайз = продакшн? Если да, то могу поделиться своими личными впечатлениями… В двух местах настроил такую связку — никаких проблем (8 мес и 4 мес). В одном asa 5510 (человек 60), в другом asa 5505 (около 40). По основному месту работы крутится стандартная «непрозрачная» схема, ибо нужна ntlm-авторизация. А в прозрачном режиме только по IP…
т.е. после настройки, стабильная работа и только?
Насколько требовательны условия, к построению правил фильтрации?
Насколько требовательны условия, к построению правил фильтрации?
ибо нужна ntlm-авторизация
на ASA?
Если да, то можете подробней рассказать или тнуть в мануал по настройке?
на ASA?
Если да, то можете подробней рассказать или тнуть в мануал по настройке?
Под «стандартной схемой» имел в виду «прокси отдельно, фаер отдельно» :) Но дла асы, кстати, есть приблуда какая-то, насколько помню — типа AD Agent. Ставится на контроллер домена и передает на асу кто на какой комп вошел. Аса сопоставляет юзера и IP-адрес по этим данным. И «как бы» доменная авторизация выходит. Но, конечно, костыль какой-то.
Может кто еще не в курсе:
До недавнего времени приходилось использовать связку сквид+аса для аутентификации и авторизации пользователей, с выходом же версии софта 8.4 появился новый и очень долгожданный функционал: Identity Firewall (подробнее можно познакомиться тут www.anticisco.ru/blogs/?p=1667).
Говоря простым языком, теперь можно забыть про сквид, который используется для аутентификации пользователей из АД и разграничения доступа к сайтам на основе групп АД. Все это теперь умеет Cisco ASA и можно спокойно вздохнуть, забыв о «ручной» настройке параметров прокси в разнообразном софте.
Хотя остается смысл прикрутить прозрачный сквид через WCCP для фильтрации нежелательного контента (реклама, порно и т.д.) и статистики посещения веб-страниц (если у кого-то руководство страдает паранойей).
До недавнего времени приходилось использовать связку сквид+аса для аутентификации и авторизации пользователей, с выходом же версии софта 8.4 появился новый и очень долгожданный функционал: Identity Firewall (подробнее можно познакомиться тут www.anticisco.ru/blogs/?p=1667).
Говоря простым языком, теперь можно забыть про сквид, который используется для аутентификации пользователей из АД и разграничения доступа к сайтам на основе групп АД. Все это теперь умеет Cisco ASA и можно спокойно вздохнуть, забыв о «ручной» настройке параметров прокси в разнообразном софте.
Хотя остается смысл прикрутить прозрачный сквид через WCCP для фильтрации нежелательного контента (реклама, порно и т.д.) и статистики посещения веб-страниц (если у кого-то руководство страдает паранойей).
Добрый день.
Прошу помощи.
У меня не отрабатывает правило:
-A PREROUTING -p tcp -m tcp -i wccp0 -j REDIRECT --to-ports 3128.
Счетчики увеличиваются, но пакеты просто маршрутизируются
Точно такое же правило для локального интерфейса заворачивает пакеты на сквид. В случае с интерфейсом gre пакет просто маршрутизируется.
Пробовал делать на FreeBSD. PF и IPFW работают точно также.
Подскажите что копать…
Прошу помощи.
У меня не отрабатывает правило:
-A PREROUTING -p tcp -m tcp -i wccp0 -j REDIRECT --to-ports 3128.
Счетчики увеличиваются, но пакеты просто маршрутизируются
Точно такое же правило для локального интерфейса заворачивает пакеты на сквид. В случае с интерфейсом gre пакет просто маршрутизируется.
Пробовал делать на FreeBSD. PF и IPFW работают точно также.
Подскажите что копать…
Sign up to leave a comment.
Прозрачное проксирование или как подружить Cisco и Squid