Grundlegendes zu Proxyservern (Betriebssystem, Browser, JVM, lokaler Proxy)

In den Jahren, in denen ich bei meiner täglichen Arbeit hinter einer Firewall gearbeitet habe, habe ich nicht mehr gewusst, wie oft ich Proxy-Server-Konfigurationen konfigurieren, neu konfigurieren und einfach experimentieren musste, damit diese App richtig funktioniert.

Ich vermute, dass viele andere Entwickler / Techniker das Gleiche tun. Stellen Sie sich vor, Sie arbeiten in einem Unternehmen, in dem Microsoft ISA Server zusammen mit Active Directory bereitgestellt wurde, das sich nahtlos in das Unternehmen integriert. Natürlich bist du auf Windows. Aus diesem Grund haben Sie möglicherweise einige Anwendungen, die das Senden von NTLM-Anmeldeinformationen an den Server nicht zulassen, oder Sie möchten Ihre eigenen Anmeldeinformationen nicht irgendwo im Code speichern. Daher haben Sie auch Ihren eigenen Proxy installiert, der den ISA als Upchain-Proxy verwendet - CNTLM .

Hier sind einige Beispiele:

• Internet Explorer - Ihre IT-Supportmitarbeiter erzwingen, dass der ISA-Proxyserver und Ausnahmen (die Sie nicht aktualisieren können) über Gruppenrichtlinien in die IE-Einstellungen übernommen werden. Das funktioniert einwandfrei, außer wenn es nicht funktioniert.

• Firefox - Ok, wer benutzt noch den Internet Explorer? Firefox - Ich habe FoxyProxy verwendet, was manchmal funktioniert. Basierend auf der Website, die Sie besuchen, können Sie durch Ausprobieren einen Proxy auswählen (ISA, Direct, CNTLM).

• Andere Browser - Wenn Firefox nicht Ihr Ding ist, verwenden Sie vielleicht Chrome, Opera, ??.

• Alles , was Java - Wie oft haben Sie getippt -Dhttp.proxyHost, -Dhttp.proxyPort?

• IDE's - Hat noch jemand gesehen, dass entweder das Eclipse-Update funktioniert oder Ihr Code, der auf das Internet zugreift, funktioniert, aber NIE beides?

• Sonstiges - VPN-Clients, Hintergrundaktualisierungsprozesse, SSH, Xmarks (und andere Browser-Plugins) usw.

Meine Frage lautet also: Kannst du all das verstehen? Welche Lösung haben Sie gefunden, um über die Hölle des Proxy-Servers hinwegzukommen? Verketten Sie mehrere Proxys, wie ich es versucht habe? Ich habe Anwendungen mit verschiedenen Kombinationen aus CNTLM, Direct, ISA, Proxy-Setter auf Windows-Systemebene konfiguriert: proxycfg, Microsoft Firewall Client usw. Was haben Sie getan, um dies zu überwinden?

Ich würde sagen, das Problem ist "alle Fenster" und speziell ISA ... Nehmen wir das erste Beispiel:

Internet Explorer - Ihre IT-Supportmitarbeiter erzwingen, dass der ISA-Proxyserver und Ausnahmen (die Sie nicht aktualisieren können) über Gruppenrichtlinien in die IE-Einstellungen übernommen werden. Das funktioniert einwandfrei, außer wenn es nicht funktioniert.

Genau ... * wenn es nicht so selten ist "...

Ich denke, das Hauptproblem ist, dass Unternehmen, die zu sehr mit MS verbunden sind, Angst haben, sich davon zu lösen, oder dass sie niemanden haben, der die Fähigkeiten hat, dies zu tun ...

Die beste Proxy / Cache-Software ist IMHO SQUID! Auch wenn möglich, kann der Proxy transparent sein und auf diese Weise müssen Sie ihn nicht in IE oder anderen Apps einstellen.

Jetzt löst Tintenfisch alle Probleme? naja, nicht einfach so ... Ein Problem wird wieder die NTLM-Authentifizierung sein ... aber Squid-ACLs würden das lösen ... Zum Beispiel könnten Sie Squid-Setup haben, um nicht-auth-Zugriff auf Windows-Updates zu erlauben und es sogar zwischenzuspeichern (nein brauchen für WSUS :)) das gleiche für Sie Anti-Virus und Java-Apps ...

Die Konfiguration müsste natürlich zum Szenario passen, aber Squid ist in der Tat sehr flexibel und zuverlässig.

Aber der wichtigste Teil wäre vielleicht das "transparente Proxy-Setup".

Was ich empfehle ist, eine Linux / Unix-Box einzurichten, bei der Sie eine Firewall / ein Standard-Gateway haben (Sie könnten hier einen OpenVPN-Server haben, um VPN-Verbindungen zu handhaben). Tintenfisch kann sich in derselben oder einer anderen Schachtel befinden, eine andere Schachtel ist immer besser.

Natürlich erfordert dies einige Kenntnisse über iptables (oder Sie könnten so etwas wie Shorewall verwenden) oder Paketfilter, oder Sie könnten immer noch eine ISA-Box mit OpenVPN und Squid-Setup in einer anderen Box haben, aber warum für zusätzliche Lizenzen bezahlen und am wichtigsten, warum einen GUI-Server für eine Firewall, VPN oder Proxy / Cache? Aber auf jeden Fall ist es möglich.

ANMERKUNG: Ich versuche nicht zu sagen, dass Windows total zum Kotzen ist und Linux / Unix viel besser ist. Ich glaube, dass Linux / Unix besser für Server ist, aber es ist immer noch schwierig, Unternehmen zu finden, die bereit sind, ihre Desktops hauptsächlich ohne Windows zu haben wegen Office. Mein Punkt ist, dass es in der Welt der "Server" eine andere Lösung von Microsoft gibt, die viel weniger oder gar nichts kostet (außer die Zeit, um sie einzurichten).