Режимы работы прокси-сервера на ИКС

Вопрос

  • В каких режимах работает прокси-сервер на ИКС?
  • Режимы работы прокси-сервера ИКС
  • Чем отличается прозрачный прокси от явного прокси?

Ответ

Прозрачный прокси

Прозрачный прокси реализован за счет межсетевого экрана. Он перехватывает трафик, который идет на ИКС на порты 80 и 443, и перенаправляет трафик на  порт прокси squid  (по умолчанию — 3128). Не требует никаких дополнительных настроек на клиентском компьютере и является сервером, который перехватывает исходящую информацию до того, как она пропадает в интернет.

При использовании прозрачного прокси ИКС не прописывается как прокси-сервер явно и весь трафик идет на шлюз. В настройках сети IPv4 в качестве шлюза указывается адрес ИКС. Далее настройки производятся на ИКС.

Когда трафик приходит в ИКС с портами назначения 80 и 443, межсетевой экран делает редирект на прокси (squid). Если указать домен, IP-адрес или сеть в поле Исключения для прозрачного прокси, то трафик с указанных ресурсов (идущий как от, так и на них), не будет перенаправляться на прокси (squid), а пойдет сразу на провайдера.

HTTРS-фильтрация:

  • В случае если в поле Сертификат для HTTPS-фильтрации не выбран сертификат, в статистике будут видны только HTTP-запросы.
  • Если в поле Сертификат для HTTPS-фильтрации выбран соответствующий сертификат, а в настройках установлен переключатель Фильтровать без подмены сертификата, то будут видны запросы HTTP и HTTPS, а также можно будет блокировать ресурсы только по домену.
  • Если выбрано Расшифровывать трафик с подменой сертификата, весь трафик HTTP и HTTPS будет полностью расшифровываться. Таким образом прокси-сервер сможет работать с URL-адресами страниц и ему будет доступно их содержимое.
  • В поле Не фильтровать HTTPS для можно добавить сайты (домены), пользователей, IP-адреса или сети, которые будут заходить в интернет через прокси-сервер, но их HTTPS-трафик не будет расшифровываться. В это поле чаще всего требуется добавлять адреса таких сервисов, как Teams, Edu, Zoom, Microsoft, WhatsApp, а также некоторые интернет-банки.
  • Если пользователь добавлен в исключение Не фильтровать HTTPS для, установка сертификата для расшифровки трафика на  ПК пользователя не требуется.

Явный прокси

Данный вариант настройки прокси-сервера менее гибкий и в большей степени зависит от настроек конечного устройства, чем при использовании прозрачного прокси. Подойдет для пользователей, которые используют доменную авторизацию на ИКС, так как для нее необходимо использовать явный прокси или утилиту Xauth.

В свойствах браузера необходимо прописать адрес ИКС и порт прокси, который указан в меню Сеть > Прокси > Настройки.

Внимание! Если используется Тип авторизации  Kerberos/LDAP, необходимо прописать доменное имя ИКС, которое будет резолвиться в его IP-адрес.

В случае использования явного прокси эти поля применяться не будут. При этом переадресацию осуществляет firewall.

Больше информации: