پرو هوسٽر > بلاگ > انتظاميه > ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

pfSense+Squid https فلٽرنگ سان + سنگل سائن آن (SSO) ايڪٽو ڊائريڪٽري گروپ فلٽرنگ سان

مختصر پس منظر

ڪمپني کي ضرورت هئي ته هڪ پراڪسي سرور لاڳو ڪرڻ جي صلاحيت سان سائيٽن تائين رسائي کي فلٽر ڪرڻ جي صلاحيت سان (https سميت) AD کان گروپن جي ذريعي ته جيئن صارف ڪو به اضافي پاس ورڊ داخل نه ڪن، ۽ ويب انٽرفيس مان ترتيب ڏئي سگهجي ٿو. سٺي درخواست، اهو ناهي؟

صحيح جواب اهو هوندو ته حل خريد ڪرڻ جهڙوڪ ڪيريو ڪنٽرول يا يوزر گيٽ، پر هميشه وانگر پئسا نه آهي، پر ضرورت آهي.

هي اهو آهي جتي سٺو پراڻو اسڪواڊ بچاء لاء اچي ٿو، پر ٻيهر - مان ويب انٽرفيس ڪٿي حاصل ڪري سگهان ٿو؟ SAMS2؟ اخلاقي طور تي فرسوده. اهو آهي جتي pfSense بچاء لاء اچي ٿو.

بيان

اهو آرٽيڪل بيان ڪندو ته ڪيئن ترتيب ڏيڻ اسڪواڊ پراکسي سرور.
Kerberos استعمال ڪندڙن کي اختيار ڏيڻ لاء استعمال ڪيو ويندو.
SquidGuard ڊومين گروپن طرفان فلٽر ڪرڻ لاء استعمال ڪيو ويندو.

Lightsquid، sqstat ۽ اندروني pfSense مانيٽرنگ سسٽم مانيٽرنگ لاءِ استعمال ڪيا ويندا.
اهو سنگل سائن آن (SSO) ٽيڪنالاجي جي تعارف سان لاڳاپيل هڪ عام مسئلو پڻ حل ڪندو، يعني اهي ايپليڪيشنون جيڪي انٽرنيٽ کي سرف ڪرڻ جي ڪوشش ڪن ٿيون ڪمپاس اڪائونٽ جي تحت انهن جي سسٽم اڪائونٽ سان.

Squid انسٽال ڪرڻ جي تياري

pfSense کي بنياد طور ورتو ويندو، انسٽاليشن هدايتون.

جنهن جي اندر اسان ڊومين اڪائونٽس استعمال ڪندي خود فائر وال تي تصديق کي منظم ڪندا آهيون. هدايتون.

تمام ضروري!

ان کان اڳ جو توھان اسڪواڊ کي انسٽال ڪرڻ شروع ڪريو، توھان کي ضرورت آھي DNS سرور کي pfsense ۾ ترتيب ڏيو، ھڪڙو رڪارڊ ٺاھيو ۽ ھڪڙو PTR رڪارڊ ان لاءِ اسان جي DNS سرور تي، ۽ NTP کي ترتيب ڏيو ته جيئن وقت ڊومين ڪنٽرولر تي وقت کان مختلف نه ٿئي.

۽ توهان جي نيٽ ورڪ تي، انٽرنيٽ تي وڃڻ لاءِ pfSense جي WAN انٽرفيس جي صلاحيت مهيا ڪريو، ۽ مقامي نيٽ ورڪ تي استعمال ڪندڙن کي LAN انٽرفيس سان ڳنڍڻ لاءِ، بشمول بندرگاهن 7445 ۽ 3128 تي (منهنجي صورت ۾ 8080).

سڀ تيار آهي؟ ڇا LDAP ڪنيڪشن ڊومين سان قائم ڪيو ويو آهي pfSense تي اختيار ڪرڻ ۽ وقت هم وقت سازي آهي؟ زبردست. اهو وقت آهي بنيادي عمل شروع ڪرڻ لاء.

تنصيب ۽ اڳواٽ ترتيب

Squid، SquidGuard ۽ LightSquid انسٽال ڪيو ويندو pfSense پيڪيج مئنيجر مان "سسٽم / پيڪيج مئنيجر" سيڪشن ۾.

ڪامياب تنصيب کان پوء، "سروسز / اسڪواڊ پراکسي سرور /" ڏانهن وڃو ۽ سڀ کان پهريان، مقامي ڪيش ٽيب ۾، ڪيشنگ کي ترتيب ڏيو، مون هر شي کي 0 تي سيٽ ڪيو، ڇاڪاڻ ته مون کي ڪيشنگ سائيٽن ۾ گهڻو نقطو نظر نٿو اچي، برائوزر هن سان گڏ هڪ بهترين ڪم ڪن ٿا. سيٽنگ ڪرڻ کان پوء، اسڪرين جي تري ۾ "محفوظ" بٽڻ کي دٻايو ۽ اهو اسان کي بنيادي پراکسي سيٽنگون ڪرڻ جو موقعو ڏيندو.

مکيه سيٽنگون هن ريت آهن:

ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

ڊفالٽ پورٽ 3128 آهي، پر مان 8080 استعمال ڪرڻ کي ترجيح ڏيان ٿو.

پراکسي انٽرفيس ٽئب ۾ چونڊيل پيرا ميٽر اهو طئي ڪندا آهن ته اسان جو پراڪسي سرور ڪهڙي انٽرفيس تي ٻڌندو. جيئن ته هي فائر وال اهڙي طرح ٺهيل آهي ته اهو انٽرنيٽ تي WAN انٽرفيس وانگر نظر اچي ٿو، جيتوڻيڪ LAN ۽ WAN ساڳيا مقامي سب نيٽ تي ٿي سگهن ٿا، مان پراکسي لاءِ LAN استعمال ڪرڻ جي صلاح ڏيان ٿو.

sqstat ڪم ڪرڻ لاءِ لوپ بيڪ جي ضرورت آھي.

هيٺ توهان کي شفاف (شفاف) پراکسي سيٽنگون ملنديون، گڏوگڏ SSL فلٽر، پر اسان کي انهن جي ضرورت ناهي، اسان جو پراکسي شفاف نه هوندو، ۽ https فلٽرنگ لاءِ اسين سرٽيفڪيٽ کي تبديل نه ڪنداسين (اسان وٽ دستاويز جي وهڪري، بينڪ کلائنٽ، وغيره)، اچو ته صرف هٿ ملائڻ کي ڏسو.

هن مرحلي تي، اسان کي اسان جي ڊومين ڪنٽرولر ڏانهن وڃڻ جي ضرورت آهي، ان ۾ هڪ تصديق وارو اڪائونٽ ٺاهيو (توهان اهو پڻ استعمال ڪري سگهو ٿا جيڪو پاڻ pfSense تي تصديق لاءِ ترتيب ڏنو ويو هو). هتي هڪ تمام اهم عنصر آهي - جيڪڏهن توهان AES128 يا AES256 انڪرپشن استعمال ڪرڻ جو ارادو ڪيو آهي - توهان جي اڪائونٽ سيٽنگن ۾ مناسب خانن کي چيڪ ڪريو.

جيڪڏهن توهان جو ڊومين هڪ تمام پيچيده ٻيلو آهي جنهن ۾ وڏي تعداد ۾ ڊائريڪٽري آهي يا توهان جو ڊومين .local آهي، ته پوءِ اهو ممڪن آهي، پر پڪ ناهي، ته توهان کي هن اڪائونٽ لاءِ هڪ سادي پاسورڊ استعمال ڪرڻو پوندو، بگ معلوم آهي، پر اهو شايد صرف هڪ پيچيده پاسورڊ سان ڪم نه ڪري سگھي، توهان کي هڪ خاص خاص ڪيس تي چيڪ ڪرڻ جي ضرورت آهي.

ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

ان کان پوء، اسان kerberos لاء هڪ اهم فائل ٺاهي، ڊومين ڪنٽرولر تي منتظم جي حقن سان ڪمانڊ پرامپٽ کوليو ۽ داخل ڪريو:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

جتي اسان اسان جي FQDN pfSense جي نشاندهي ڪريون ٿا، ڪيس جو احترام ڪرڻ جي پڪ ڪريو، اسان جو ڊومين اڪائونٽ ۽ ان جو پاسورڊ ميپيوزر پيراميٽر ۾ داخل ڪريو، ۽ crypto ۾ اسان انڪرپشن جو طريقو چونڊيو ٿا، مون ڪم لاءِ rc4 استعمال ڪيو ۽ آئوٽ فيلڊ ۾ اسان چونڊيو ٿا جتي اسان اسان جي مڪمل ڪيل ڪي فائل موڪلي ويندي.
ڪاميابيءَ سان ڪي فائل ٺاھڻ کان پوءِ، اسان ان کي پنھنجي pfSense ڏانھن موڪلينداسين، مون ھن لاءِ Far استعمال ڪيو، پر توھان ھي ڪم ڪري سگھو ٿا ٻئي ڪمانڊز ۽ پوٽي سان يا pfSense ويب انٽرفيس ذريعي ”ڊائگنوسٽڪس ڪمانڊ لائن“ سيڪشن ۾.

ھاڻي اسان ايڊٽ ڪري سگھون ٿا / ٺاھي سگھون ٿا /etc/krb5.conf

ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

جتي /etc/krb5.keytab اها اهم فائل آهي جيڪا اسان ٺاهي آهي.

kinit استعمال ڪندي kerberos جي آپريشن کي پڪ ڪريو، جيڪڏھن اھو ڪم نه ڪري، اڳتي پڙھڻ جو ڪو به فائدو نه آھي.

بغير تصديق جي اسڪواڊ جي تصديق ۽ رسائي جي فهرست کي ترتيب ڏيڻ

ڪاميابيءَ سان kerberos ترتيب ڏيڻ سان، اسان ان کي اسان جي اسڪواڊ ۾ جڪڙينداسين.

هن کي ڪرڻ لاء، وڃو ServicesSquid Proxy Server ۽ مکيه سيٽنگن ۾ بلڪل ھيٺ وڃو، اتي اسان کي "اعلي سيٽنگون" جو بٽڻ ملندو.

ڪسٽم آپشنز (تصوير کان اڳ) فيلڊ ۾، داخل ڪريو:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

ڪٿي auth_param ڳالهين جو پروگرام /usr/local/libexec/squid/negotiate_kerberos_auth - اسان کي گهربل تصديق ڪندڙ ڪيبرروس مددگار چونڊيو.

ڪيٻي -s معنيٰ سان GSS_C_NO_NAME - ڪي فائل مان ڪنهن به اڪائونٽ جي استعمال کي بيان ڪري ٿو.

ڪيٻي -k معنيٰ سان /usr/local/etc/squid/squid.keytab - هن خاص ڪيٽيب فائل کي استعمال ڪرڻ جو عزم. منهنجي صورت ۾، اها ساڳي ڪيٽيب فائل آهي جيڪا اسان ٺاهي هئي، جيڪا مون نقل ڪئي /usr/local/etc/squid/ ڊاريڪٽري ۾ ۽ ان جو نالو تبديل ڪيو، ڇاڪاڻ ته اسڪواڊ ان ڊاريڪٽري سان دوستي ڪرڻ نه چاهيو، ظاهري طور تي موجود نه هئا. ڪافي حق.

ڪيٻي -t معنيٰ سان - نه ڪو - ڊومين ڪنٽرولر کي سائيڪل جي درخواستن کي غير فعال ڪري ٿو، جيڪو ان تي لوڊ تمام گھٽ ڪري ٿو جيڪڏهن توهان وٽ 50 کان وڌيڪ استعمال ڪندڙ آهن.
ٽيسٽ جي مدت لاءِ، توھان پڻ شامل ڪري سگھو ٿا -d چيڪ - يعني تشخيص، وڌيڪ لاگ ڏيکاريا ويندا.
auth_param ڳالهين ٻارن 1000 - اهو طئي ڪري ٿو ته ڪيترا هڪ ئي وقت اختيار ڪرڻ وارا عمل هلائي سگھجن ٿا
auth_param negotiate keep_alive on - اختيار جي زنجير جي پولنگ دوران ڪنيڪشن کي ٽوڙڻ جي اجازت نٿو ڏئي
acl auth proxy_auth گهربل - ٺاھي ٿو ۽ ھڪڙي رسائي ڪنٽرول لسٽ جي ضرورت آھي جنھن ۾ صارف شامل آھن جن اختيار منظور ڪيو آھي
acl nonauth dstdomain "/etc/squid/nonauth.txt" - اسان اسڪواڊ کي اڻ ڄاڻ رسائي جي فهرست بابت ڄاڻون ٿا، جنهن ۾ منزلون ڊومينز شامل آهن، جن تائين هر ڪنهن کي هميشه رسائي جي اجازت هوندي. اسان فائل پاڻ ٺاهيندا آهيون، ۽ ان جي اندر اسان فارميٽ ۾ ڊومين داخل ڪندا آهيون

.whatsapp.com
.whatsapp.net

Whatsapp بيڪار نه آهي مثال طور استعمال ڪيو ويو آهي - اهو پراکسي جي تصديق سان تمام گهڻو چنبڙيل آهي ۽ ڪم نه ڪندو جيڪڏهن ان کي تصديق ڪرڻ کان اڳ اجازت نه ڏني وڃي.
http_access اجازت ڏيو nonauth - هر ڪنهن کي هن لسٽ تائين رسائي جي اجازت ڏيو
http_access deny !auth - اسان غير مجاز استعمال ڪندڙن کي ٻين سائيٽن تائين رسائي کان منع ڪريون ٿا
http_access اجازت نامو - بااختيار صارفين تائين رسائي جي اجازت ڏيو.
اهو ئي آهي، اسڪواڊ پاڻ کي ترتيب ڏنو ويو آهي، هاڻي اهو وقت آهي گروپن کي فلٽر ڪرڻ شروع ڪرڻ جو.

SquidGuard ترتيب ڏيڻ

وڃو ServicesSquidGuard Proxy Filter.

LDAP آپشنز ۾ اسان پنهنجي اڪائونٽ جي ڊيٽا داخل ڪريون ٿا جيڪو ڪربروس جي تصديق لاءِ استعمال ڪيو ويو آهي، پر هيٺ ڏنل فارميٽ ۾:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

جيڪڏهن خال يا غير لاطيني اکر آهن، ته هي سڄو داخلا هڪ يا ٻٽي حوالن ۾ بند ڪيو وڃي:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

اڳيون، انهن باڪس کي چيڪ ڪرڻ جي پڪ ڪريو:

ڊومين اختيار سان گڏ ڪمپني لاء مفت پراکسي سرور

غير ضروري DOMAINpfsense کي ختم ڪرڻ لاءِ DOMAINLOCAL جنهن لاءِ سمورو نظام انتهائي حساس آهي.

ھاڻي اسان گروپ Acl ڏانھن وڃون ٿا ۽ پنھنجي ڊومين جي رسائي گروپن کي پابند ڪريو، مان 0 تائين سادي نالا استعمال ڪريان ٿو جهڙوڪ گروپ_1، گروپ_3، وغيره، جتي 3 تائين رسائي صرف وائيٽ لسٽ تائين آھي، ۽ 0 - سڀ ڪجھ ممڪن آھي.

گروپ ھيٺ ڏنل ڳنڍيل آھن:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

اسان جي گروپ کي بچايو، ٽائمز ڏانھن وڃو، اتي مون ھڪڙو خلا ٺاھيو آھي جنھن جو مطلب آھي ھميشه ڪم ڪرڻ، ھاڻي وڃو ٽارگيٽ ڪيٽيگريز ۾ ۽ لسٽون ٺاھيون پنھنجي صوابديد تي، لسٽون ٺاھڻ کان پوءِ اسان پنھنجي گروپن ڏانھن واپس وڃون ٿا ۽ گروپ جي اندر بٽڻن سان چونڊيون ٿا ته ڪير وڃي سگھي ٿو. ڪٿي، ۽ ڪير نٿو ڪري سگهي، ڪٿي.

LightSquid ۽ sqstat

جيڪڏهن ترتيب جي عمل دوران اسان اسڪواڊ سيٽنگن ۾ لوپ بڪ چونڊيو ۽ اسان جي نيٽ ورڪ تي ۽ پاڻ pfSense تي فائر وال ۾ 7445 تائين رسائي جي صلاحيت کي کوليو، پوءِ جڏهن اسڪواڊ پراڪسي رپورٽن جي تشخيص ڏانهن وڃو، اسان آساني سان sqstat ۽ Lighsquid ٻنهي کي کوليون ٿا، جنهنڪري لاءِ اسان کي ضرورت پوندي ساڳي جاءِ تي، اچو ته يوزرنيم ۽ پاسورڊ سان گڏ، ۽ اتي پڻ هڪ ڊزائن چونڊڻ جو موقعو آهي.

چڪاس

pfSense هڪ تمام طاقتور اوزار آهي جيڪو تمام گهڻو ڪم ڪري سگهي ٿو - ٻئي ٽرئفڪ پراکسينگ ۽ انٽرنيٽ تائين صارف جي رسائي تي ڪنٽرول سڄي ڪارڪردگي جو صرف هڪ حصو آهن، ان جي باوجود، 500 مشينن سان گڏ هڪ ڪمپني ۾، اهو مسئلو حل ڪيو ۽ محفوظ ڪيو ويو. هڪ پراکسي خريد ڪرڻ.

مون کي اميد آهي ته هي آرٽيڪل ڪنهن ماڻهو کي هڪ مسئلو حل ڪرڻ ۾ مدد ڪندو جيڪو وچولي ۽ وڏي ادارن لاء ڪافي لاڳاپيل آهي.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو