WPAD или автоматично конфигуриране на прокси параметри - тя отбелязва, специалист

Ако настройката за автоматично мрежа сега се е превърнал "в норма", дори и в малки мрежи, а след това автоматично получаване на настройките на прокси сървъра все още се причиняват някои трудности. За тези цели, не е автоматично настройване на прокси сървър протокол - WPAD, която ви позволява да управлявате трафика и да бъде достатъчно гъвкава, за да се избегне необходимостта да настройвате браузърите и друг софтуер мрежа ръчно.

На първо място, малко теория. Нека да видим колко са необходими протокола и кои услуги на мрежата за това.

Да разгледаме следната схема:

Получаване на заявка от браузъра на потребителя, се опитва да намери мястото на PAC-скрипт, като се използват различни мрежови договорености. Първо изпрати DHCP-заявка, отговорът на който трябва да съдържа URL PAC-файла в специално поле отговор, се използва за тази опция е 252 DHCP.

Какво означава това? Да предположим, че клиентът е в office.spb.example.com домейн. на търна ще търси следните домакините:

• wpad.office.spb.example.com
• wpad.spb.example.com
• wpad.example.com
• wpad.com

Сред ОС Windows, ако предишните опити не дадоха резултат, търси WPAD WINS-домакин на сървъра и от излъчване протоколи LLMNR (локалната връзка Multicast Наименование Резолюция) и NBNS (NetBIOS Name Service) на.

Също така, от съображения за сигурност, PAC-файл не трябва да бъдат достъпни извън локалната мрежа.

isPlainHostName (домакин) - вярно, ако приемащата - "плосък" име на хост, т.е. нормални NetBIOS-име и т.н. Тя позволява да се определи лечението на хостовете в локалната мрежа с обикновено име.

dnsDomainIs (хост, домейн) - вярно, ако домейнът на поискване (домакин) съвпада с директива даден домейн.

isResolvable (домакин) - вярно, ако името на домейна може да бъде решен. Инструкциите по-долу трябва да се използват с повишено внимание, както го прави допълнително DNS-заявка, която може да се увеличи натоварването на сървъра и да влоши времето за реакция.

shExpMatch (ул, shexp) - вярно, ако низът съответства на модела, линия, може да се използва като домакин или URL адрес, трябва да се помни, че моделът не е регулярен израз.

Тези стъпки са достатъчни, за да се направи достатъчно подробно и разклонени правила за работа с прокси сървър. Нека се опитаме да направим един истински сценарий.

На първо място, ние се отличава с:

Според този запис, ако полето съдържа "плосък" име на хост на заявката, след което се завръща в DIRECT директивата на браузъра. което означава, че пълномощникът не трябва да се използва за тази връзка.

Между другото, първото правило може да бъде пренаписана по различен начин:

В мрежата на домейн, вие също трябва да се създаде пряка връзка с вътрешни ресурси:

Също така, можете да подадете пълномощник по всички критични външни ресурси, като например онлайн банкиране или електронни платформи за търговия.

Ако вашият сървър не работи HTTPS искания, те също трябва да бъдат изпратени чрез, имайте предвид, че вместо домакин в правилото ние използваме адреса:

Същото трябва да се направи за искания FTP:

И накрая, всичко, което не попада в някоя от право да изпрати на пълномощника:

След като приключва с това, как PAC-файл се премине към практически сценарии за изпълнение WPAD услуги в мрежата.

Directory мрежа Active

Тъй като всички наши членове победа, толкова по-далеч ще се разбере, че WPAD е конфигуриран да работи с рутера в мрежа Active Directory, описани от нас в течение Конфигуриране на Squid да работи с Active Directory. По този начин даден материал може да послужи своя логичен завършек.

Нека започнем с настройките на DHCP, отворете съответния модула за и преминете към списъка на сървъри, щракнете с десния бутон върху елемента и изберете предварително зададените параметри IPv4.

В прозореца, който се отваря, кликнете върху Добавяне на

И попълнете полетата, както следва:

След това отидете на пространство - Опции площ - Конфигуриране и добавяне на опция за WPAD ни е създал.

Ако вашата мрежа е повече от един DHCP сървър, трябва да се изпълняват едни и същи настройки за всеки от тях.

GlobalQueryBlockList отворена опция и отиде WPAD оттам стойност. След това услугата DNS трябва да се рестартира.

Тази операция трябва да се извършва на всеки DNS-сървър във вашата мрежа.

След това добавете запис за WPAD домакин на тип А. което трябва да доведе до уеб сървър с PAC-файл.

В тази част, считаме, че случаят с IIS. Lighttpd и да се върне малко по-късно, когато говорим за специални мрежи. Ние няма да се спирам на уеб сървър за настройка роля (IIS), просто проверете всички стъпки на съветника по подразбиране.

След като инсталирате преминаването към IIS Manager - Сайтове - Default Web Site, в която на настройките изберете MIME видове.

За правилната работа с PAC-файл, добавяне на нов тип MIME, като се посочва .dat разширението и въведете MIME заявление / х-НС-прокси-autoconfig.

След завършване на тази настройка, не забравяйте да рестартирате уеб сървъра и го поставете в основната директория на C на: \ Inetpub \ wwwroot файл wpad.dat.

Като правило, не се изискват допълнителни действия. Internet Explorer и Edge има настройка автоматично по подразбиране открие параметри на настройките на прокси. Но вие може да осигури и да се създаде отделна политика за GPO, за това използвайте потребителската конфигурация - Настройки - Контролен панел Настройки - настройки за Интернет.

Браузър на базата на Google Chrome (включително Opera, Yandex) с настройките, определени за IE. Проблемът, както винаги, се случи с Firefox. че с настройки по подразбиране да използва прокси настройките на системата ги игнорира и отива директно, така че този вариант трябва да се промени за автоматично откриване на настройките за прокси сървър за тази мрежа.

Пеер да Пеер

В ад-хок мрежи обикновено се използват прозрачни прокси сървъри, които не се нуждаят от настройките на браузъра си, но в някои случаи, например, за удостоверяване на прозрачността е необходимо да се откаже, поради това, че е необходимо за WPAD. На следващо място, ние ще разгледаме примера за определяне на рутер настроен за тази статия: Ubuntu Server. Конфигуриране на рутера NAT + DHCP + Squid3.

Тъй като в повечето случаи ненужни сървъри в малки мрежи не, тогава всички услуги ще бъдат разположени в рамките на рутера. DHCP и DNS кеширане вече имаме под формата на dnsmasq пакет. както и на уеб сървър, можете да инсталирате лек Lighttpd. На пръв поглед, всичко, което трябва е на разположение и, ако възникнат проблеми.

Сега нека да си спомним как търсенето на PAC-файла. Ако браузърът не е получено от желаните опции DHCP или не може да го получи, той прави заявка за WPAD на DNS-домакин в текущия домейн. Ние изрично подчертават ключови моменти - в текущия домейн. И какво е текущото достояние в мрежа компютър-компютър? Точно така, нищо.

За да проверите това, проверка на DNS-наставка на текущата връзка. За да направите това в PowerShell конзола, изпълнете следната команда:

Ето изходните команди към партньорската мрежа, както и домейн в отсъствието на DNS-наставка разлика ясно видими "за невъоръжено око."

Ако оставите всичко както е, същата Firefox няма да бъде в състояние да получи настройките за прокси сървър и ще изисква ръчно въвеждане на параметри. Какво да се прави? За щастие, има протокол DHCP опция 015, която позволява да прехвърлите DNS наставка-свързва клиентите.

Open /etc/dnsmasq.conf и последователно се променят следните опции в него:

Тази опция показва, че interface31.local домейн - локално и разрешаване на имена на своите по нагоре по веригата на DNS-сървърите не трябва да бъде.

име DNS домейна се прехвърля на клиента в опцията DHCP 015.

Той определя местоположението на PAC-файла.

Ако всичко е направено правилно - връзките, посочени контакт наставка се проявява като плоски имена ще бъдат допълнени с FQDN. Сега можете да продължите да конфигурирате уеб сървъра.

След това отворете си конфигурация /etc/lighttpd/lighttpd.conf файл и добавете опция:

Това ще ограничи работата на уеб сървъра, само локалната мрежа.

След това се уверете, че файлът е налице /etc/mime.types рекорд:

Ако този пост не е налице, следва да се добави.

На тази конфигурация на сървъра е пълна, че е необходимо да се поставят PAC-файл в директорията / Var / WWW и тестване на браузъра.

Тъй като специализираната мрежа не предоставя такива възможности за управление на клиентски компютър като ActiveDirectory, трябва да се вземат мерки, за да се предотврати заобикалянето. Това може да стане чрез IPTABLES. забрана на препращане на пакети за назначаването на 80-ия пристанището. Но това е по-добре да се направи по друг начин.

/ И т.н. / NAT добави следното правило:

Този дизайн ще пренасочи всички заявки на уеб сървър или на трета страна прокси към порт 80 на нашия рутер, който има свой собствен уеб сървър.

Lighttpd за конфигуриране добавете опция (не забравяйте да рестартирате на уеб сървър):

Сега, в / Var / WWW създаде index.html файл със следното съдържание:

След това, когато се опитате да заобиколят потребителят прокси ще видите съобщението:

Като пример, сме дали най-простата версия на страницата на забраната, тъй като не се намесва, за да го направи по-информативни, като например публикуване на кратки нейните инструкции за това как да се създаде независим браузър.

Ако искате да се даде възможност да работят с някои сайтове без прокси, след това добавете към правилото да отрече:

Както можете да видите, задайте настройките на Auto прокси е модула, и може ефективно да се прилага технологията в големи и малки мрежи.

Допълнителни ресурси: