Buongiorno a tutti,

dopo taaaanti anni mi trovo a dover riprendere in mano un proxy squid
che sta' lavorando senza problemi, il proxy funziona con
l'autenticazione da AD.

La necessita' e' quella di renderlo trasparente perche' per industria
4.0 mi trovo con un po di macchine nei reparti che non voglio vadano a navigarein internet, quindi se io le faccio navigare  solo in LAN (che
e'  quello che devono fare) sono a posto.

La parte di NFTABLES mi e' abbastanza chiara cosi' come almeno in linea
di principio la configurazione dello squid stesso si tratta di fare 4
test per aggiustare il tiro ma niente di che.
Quello che pero' mi domando e':
ha ancora senso usare un proxy come squid che fa sostanzialmente cache
se oggi come oggi e' passato tutto in HTTPS e come e noto squid non fa
cache di pagine sicure?

(http://www.faqs.org/docs/Linux-mini/TransparentProxy.html#ss2.3)

Giro a voi il quesito e vi ringrazio in anticipo per le opinioni che
vorrete fornirmi.

Cordiali saluti.

--

Mario Vittorio Guenzi
E-mail jclark@tiscali.it
Si vis pacem, para bellum

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il Mon, Jun 10, 2024 at 08:37:23AM +0200, Mario Vittorio Guenzi ha scritto:

Buongiorno a tutti,

dopo taaaanti anni mi trovo a dover riprendere in mano un proxy squid che sta' lavorando senza problemi, il proxy funziona con l'autenticazione da AD.

La necessita' e' quella di renderlo trasparente perche' per industria 4.0 mi trovo con un po di macchine nei reparti che non voglio vadano a navigarein internet, quindi se io le faccio navigare  solo in LAN (che e'  quello che devono fare) sono a posto.

La parte di NFTABLES mi e' abbastanza chiara cosi' come almeno in linea di principio la configurazione dello squid stesso si tratta di fare 4 test per aggiustare il tiro ma niente di che.
Quello che pero' mi domando e':
ha ancora senso usare un proxy come squid che fa sostanzialmente cache se oggi come oggi e' passato tutto in HTTPS e come e noto squid non fa cache di pagine sicure?

(http://www.faqs.org/docs/Linux-mini/TransparentProxy.html#ss2.3)

Giro a voi il quesito e vi ringrazio in anticipo per le opinioni che vorrete fornirmi.

Cordiali saluti.

--
Mario Vittorio Guenzi
E-mail jclark@tiscali.it
Si vis pacem, para bellum

Ciao Mario, io ho dismesso da tempo squid e comunque avevo verificato che
mi serviva soprattutto per fare da cache agli aggiornamenti ma non sulle pagine.

--

Amike,
Marco Ciampa

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.

Ciao Mario, io ho dismesso da tempo squid e comunque avevo verificato che
mi serviva soprattutto per fare da cache agli aggiornamenti ma non sulle pagine.

Grazie Marco,

come dicevo poc'anzi ad Alessandro sono conscio che ormai il caching ha
poco senso a me servirebbe la parte AUTH

Il mio piu' cordiale saluto

--

Mario Vittorio Guenzi
E-mailjclark@tiscali.it
Si vis pacem, para bellum

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<br>
<blockquote type="cite"
cite="mid:ZmasuagRksVtK6lj@marco-TUXEDO-Pulse-15-Gen2">
<pre class="moz-quote-pre" wrap="">
Ciao Mario, io ho dismesso da tempo squid e comunque avevo verificato che
mi serviva soprattutto per fare da cache agli aggiornamenti ma non sulle pagine.
</pre>
</blockquote>
<p>Grazie Marco, <br>
</p>
<p>come dicevo poc'anzi ad Alessandro sono conscio che ormai il
caching ha poco senso a me servirebbe la parte AUTH<span
style="white-space: pre-wrap">
</span></p>
<p><span style="white-space: pre-wrap">Il mio piu' cordiale saluto </span></p>
<pre class="moz-signature" cols="72">--

Mario Vittorio Guenzi
E-mail <a class="moz-txt-link-abbreviated" href="mailto:jclark@tiscali.it">jclark@tiscali.it</a>
Si vis pacem, para bellum
</pre>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Mario Vittorio Guenzi
In chel di` si favelave...

Giro a voi il quesito e vi ringrazio in anticipo per le opinioni che
vorrete fornirmi.

Allora, ho diversi proxy in azienda.

Confermo, statistiche alla mano, che non serve più a molto, se non a fare
cache degli aggiornamenti (ma se hai WSUS...).

Vero che si potrebbe fare SSL Bump, ma è un casino dal punto di vista
tecnico e legale.

Vero che puoi fare filtro, ma siccome tutti i siti sono in SSL dovresti fare ssl bump per rispondere con una pagine intelleggibile, e siamo al punto precedente.

MA continuo a pensare che ne valga la pena: ormai praticamnete tutto
supporta il proxy (pc, tv, tablet, stampanti, ...) e è estremamente più
comodo che aprire regole di firewall in giro...

--

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Grazie Marco

MA continuo a pensare che ne valga la pena: ormai praticamnete tutto
supporta il proxy (pc, tv, tablet, stampanti, ...) e è estremamente più comodo che aprire regole di firewall in giro...

--

Mario Vittorio Guenzi
E-mailjclark@tiscali.it
Si vis pacem, para bellum

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Grazie Marco <br>
</p>
<span style="white-space: pre-wrap">
</span>
<blockquote type="cite"
cite="mid:l06kjk-raj3.ln1@leia.lilliput.linux.it">
<pre class="moz-quote-pre" wrap="">MA continuo a pensare che ne valga la pena: ormai praticamnete tutto
supporta il proxy (pc, tv, tablet, stampanti, ...) e è estremamente più comodo che aprire regole di firewall in giro...

</pre>
</blockquote>
<pre class="moz-signature" cols="72">--

Mario Vittorio Guenzi
E-mail <a class="moz-txt-link-abbreviated" href="mailto:jclark@tiscali.it">jclark@tiscali.it</a>
Si vis pacem, para bellum
</pre>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Grazie Luca

Il 11/06/24 20:52, Luca Presta ha scritto:

Il 10/06/24 09:38, Mario Vittorio Guenzi ha scritto:

come dicevo poc'anzi ad Alessandro sono conscio che ormai il caching
ha poco senso a me servirebbe la parte AUTH

Il mio piu' cordiale saluto

Ho sempre apprezzato e stimato Squid. E' uno di quei software che
hanno contribuito a far gradire Linux e a farne un sistema aziendale.
Ora Squid lo uso in un'azienda come sistema di navigazione dedicato ai sistemi dei fornitori esterni, gente che non si considera e che è
sempre meglio far passare dalla porta di servizio...
Senza problemi, e in accordo col "padrone di casa", faccio ssl-bump
usando la CA definita nel dominio Windows e configurata attendibile
sui client per policy. Lo spacchettamento del traffico serve
soprattutto per far vedere le pagine di errore di Squid sui siti in
https, altrimenti il browser si fermerebbe ad una pagina bianca senza
altre informazioni utili a far capire all'utente cosa sta succedendo.
La configurazione del client è distribuita via policy con chiave di
registro su un file *.pac

Squid supporta egregiamente l'autenticazione di dominio windows, per
user e filtrata per gruppo, ma nel mio caso non l'ho implementata.

Filtraggi alla navigazione web non ce ne sono, il mio è uno Squid
cattivo: tutto disabilitato eccetto quello che si è deciso di abilitare.

Zero problemi da circa due anni di uso e molta tristezza nel vedere un
gran prodotto che lentamente percorre la via del tramonto.

--
La sola prova dell'esistenza del diavolo è il nostro desiderio di vederlo all'opera

Guglielmo da Baskerville

--

Mario Vittorio Guenzi
E-mailjclark@tiscali.it
Si vis pacem, para bellum

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Grazie Luca<br>
</p>
<div class="moz-cite-prefix">Il 11/06/24 20:52, Luca Presta ha
scritto:<br>
</div>
<blockquote type="cite"
cite="mid:a96f265a-4938-44e5-b915-afa3e8ac067a@unix-like.it">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<br>
<div class="moz-cite-prefix">Il 10/06/24 09:38, Mario Vittorio
Guenzi ha scritto:<br>
</div>
<blockquote type="cite"
cite="mid:d21b8c54-c65b-447c-b0f1-5409e99b60c8@tiscali.it">
<meta http-equiv="Content-Type"
content="text/html; charset=UTF-8">
come dicevo poc'anzi ad Alessandro sono conscio che ormai il
caching ha poco senso a me servirebbe la parte AUTH
<p><span style="white-space: pre-wrap">Il mio piu' cordiale saluto </span></p>
</blockquote>
<br>
Ho sempre apprezzato e stimato Squid. E' uno di quei software che
hanno contribuito a far gradire Linux e a farne un sistema
aziendale.<br>
Ora Squid lo uso in un'azienda come sistema di navigazione
dedicato ai sistemi dei fornitori esterni, gente che non si
considera e che è sempre meglio far passare dalla porta di
servizio... <br>
Senza problemi, e in accordo col "padrone di casa", faccio
ssl-bump usando la CA definita nel dominio Windows e configurata
attendibile sui client per policy. Lo spacchettamento del traffico
serve soprattutto per far vedere le pagine di errore di Squid sui
siti in https, altrimenti il browser si fermerebbe ad una pagina
bianca senza altre informazioni utili a far capire all'utente cosa
sta succedendo. La configurazione del client è distribuita via
policy con chiave di registro su un file *.pac<br>
 <br>
Squid supporta egregiamente l'autenticazione di dominio windows,
per user e filtrata per gruppo, ma nel mio caso non l'ho
implementata.<br>
<br>
Filtraggi alla navigazione web non ce ne sono, il mio è uno Squid
cattivo: tutto disabilitato eccetto quello che si è deciso di
abilitare.<br>
<br>
Zero problemi da circa due anni di uso e molta tristezza nel
vedere un gran prodotto che lentamente percorre la via del
tramonto.<br>
<br>
<br>
<br>
--
<pre class="moz-signature" cols="72">La sola prova dell'esistenza del diavolo è il nostro desiderio di vederlo all'opera

Guglielmo da Baskerville</pre>
</blockquote>
<pre class="moz-signature" cols="72">--

Mario Vittorio Guenzi
E-mail <a class="moz-txt-link-abbreviated" href="mailto:jclark@tiscali.it">jclark@tiscali.it</a>
Si vis pacem, para bellum
</pre>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Grazie Giovanni.

Il 14/06/24 21:46, giovanni Scudeller ha scritto:

Il 10/06/24 08:37, Mario Vittorio Guenzi ha scritto:

Buongiorno a tutti,

dopo taaaanti anni mi trovo a dover riprendere in mano un proxy squid
che sta' lavorando senza problemi, il proxy funziona con
l'autenticazione da AD.

E' secondo me è buon sistema per certificare la navigazione.

È comodo piu' che altro e tutto sommato non troppo incasinato da mettere
in piedi.

(vedi https://www.cisa.gov/news-events/alerts/2024/05/09/cisa-releases-four-industrial-control-systems-advisories

https://www.cisa.gov/news-events/ics-advisories/icsa-24-144-01 https://www.cisa.gov/news-events/ics-advisories/icsa-24-142-01 e sono
solo gli ultimi )

Mamma mia...

Ideale è se possibile spostarli su vlan dedicate, magari anche una per
linea e passando da un firewall permettendo di arrivare solo sui
servizi a loro necessari.

la rotta e' quella, prima o poi dovremo fare anche questo giro per
complicarci ulteriormente l'esistenza


Non che sia pessimista, ma è qualcosa che è successo in questi giorni
risolto in 2 minuti perchè c'erano le tracce.

Userei Squid proprio per questo.

OK mi conforta questa opinione e quindi proseguiro' in questo senso.

Di nuovo grazie





--
Mario Vittorio Guenzi

http://clark.tipistrani.it

Si vis pacem para bellum

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)