Premessa :
Devo tirare su un servizio che si interponga fra i pc ed internet per impedire l'accesso a determinate categorie di siti web o servizi online.
Situazione :
$mia_lan --> $wan_ casa_madre --> $lan_casa_madre --> internet
Fra $mia_lan e $wan_casa_madre non posso sostituire il gateway (switch cisco layer3) per motivi politici.
Fra $mia_lan e $wan_casa_madre posso abilitare il wccp sul gw attuale per redirigere il traffico verso un cache server in $mia_lan.
In $lan_casa_madre ci sono dei siti web (una intranet) con accesso tramite NTML (abilitati al sso con active directory) che devono essere sempre e comunque raggiungibili.
Programmi utilizzati :
dansguardian 2.10.1.1
Squid Version 2.6.STABLE21
SquidGuard
$DG --> $SQUID --> $SquidGuard (squidGuard lo posso anche togliere se gestisco la black list con dg)
Situazione :
Non potendo usare il server proxy come gw per $mia_lan non posso impostare regole di iptables per non redirigere il traffico verso la intranet sulla porta di DansGuardian. Con wccp tutti il traffico web viene indiscriminatamente buttato sul cache server.
Ntlm prevede che tutte le fasi di autenticazioni vengano eseguite in un unica connessione , infatti passando direttamente da squid funziona correttamente.
Passando da DansGuardian il meccanismo viene rotto perchè ogni nuova richiesta del client viene trattata come una nuova connessione verso squid.
Senza DansGuardian tutto funziona senza problemi.
Conoscete un modo per evitare di rompere questo meccanismo?
Le soluzioni che ho provato fino ad ora sono state :
- sandwich : squid --> dg --> squid --> internet : pessima configurazione e non affidabile
ntlmaps : dg --> squid --> ntlmaps --> internet : lenta , non affidabile
exclusionlist di dansguardian : inutile dato che serve solo nel caso in cui in quelle pagine ci siano dei contenuti vietati