我正在考虑为我们公司设置某种访客无线接入,但我们的互联网连接都是通过外部代理运行的。
在浪费了大量时间向访问者解释如何输入代理设置才能连接到网络之后,我觉得是时候寻找一个从最终用户的角度来看更简单的解决方案了。
我最初的想法是,我可以购买一个 WAP,这样我就可以自己选择代理服务器,但实际上,这似乎是一个相当罕见或昂贵的选择(我以前曾使用 ZyAIR G-4100 做过类似的事情,但这很不可靠)
从一些研究来看,最受欢迎的答案似乎是使用在调制解调器和交换机之间运行 Squid 的 Ubuntu 盒设置透明代理。
这听起来是最明智的想法吗,还是我把事情复杂化了?
编辑忘记提及我的另一个问题是我也被锁定在路由器之外,因此无法尝试创建绕过代理的单独子网。
答案1
我完全确定我理解您的布局,但如果您只是想让您的访客访问互联网(而根本不关心他们是否使用代理),为什么不在您的边缘防火墙/路由器上添加另一条支路(假设它可以做到这一点)并将 Wi-Fi 路由器桥接到该支路并进行相应的路由/过滤?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
答案2
您可以看看 SmoothWall、Endian 和其他类似的“威胁管理”系统,它们基本上是基于 nix 的功能齐全的防火墙,并集成了透明代理(主要是网络和电子邮件)。
答案3
如果您不介意访问者是否通过代理,您只需在阻止端口 80 流量的规则中添加例外即可。为访客网络创建一个 VLAN,并允许来自该 IP 范围的流量在防火墙的内部接口上使用端口 80。(如果您在那里阻止了它,则允许在外部使用)
答案4
如果您关心网络的完整性,请不要让访客连接到网络。按照@gravyface 所述配置备用的防火墙网络
最受欢迎的答案似乎是设置一个透明代理...运行 squid
不,这不会解决您的问题。如果您将其设置为透明代理,那么没有人能够使用 SSL 连接到任何站点,而无需点击代理上的证书创建的不良 SSL 警告。并且使用 MITM / 要求他们在他们的计算机上安装您的 CA 证书并不是解决方案。
但我也被锁定在路由器之外
那么您就无法控制您的网络,并且您不应该尝试以这种方式部署系统,或者您应该更换您的提供商。