[Ninux-Calabria] proposta: hotspot + proxy + tor

Giuseppe De Marco demarcog83 a gmail.com
Mar 17 Mar 2015 09:44:49 CET


Il 17 marzo 2015 01:24, Vincenzo Pirrone <linuspax a gmail.com> ha scritto:
> Ciao
> L'idea in oggetto mi è venuta in mente piano piano, si è sviluppata di
> volta in volta da quando ho pensato che per un hotspot era comodo avere
> un proxy.
>
> Stasera dopo un rapido scambio di opinioni a riunione Ninux mi sono
> documentato su come implementare il tutto.
>
> La spiego brevemenete:
> Invece di installare un captive portal su ogni hotspot installiamo squid
> su un singolo server su ninux.
> Sull'hotspot si configura il firewall in modo che i client utilizzino
> squid come trasparent proxy:
>
> config redirect
>         option proto 'tcp'
>         option src_dport '80'
>         option dest_ip '10.87.20.208'
>         option dest_port '3128'
>         option target 'DNAT'
>         option dest 'lan'
>         option name 'proxy'
>         option src 'hotspot'
>
> config redirect
>         option dest 'lan'
>         option proto 'tcp'
>         option dest_ip '10.87.20.208'
>         option dest_port '3128'
>         option target 'SNAT'
>         option src_dip '10.87.20.1'
>         option name 'proxy'
>         option src 'hotspot'
>
> Si può fare tutto da Luci, le regole vanno messe rispettivamente in port
> forward e traffic rules.
> 'hotspot' è la firewall zone dell'hotpot
> '3128' è la porta del proxy
> per i test ho installato squid sul mio pc ip '10.87.20.208' zona 'lan'
> è necessario impostare anche SNAT perchè il traffico di risposta del
> proxy deve passare per il router (10.87.20.1)
>
> Poi si configura squid in modo da servire la splash page:
> http://wiki.squid-cache.org/ConfigExamples/Portal/Splash
> Quindi si può configurare squid per decidere a quali host i client si
> possono collegare
>
> Tor è un optional, a mio parere l'accesso ad internet dovrebbe comunque
> essere consentito, ma visto che si tratta di sconosciuti è meglio con
> connessione anonima
> http://wiki.vpsget.com/index.php/Squid%2BPrivoxy%2BTor
> Allo stesso tempo si può configurare Tor come relay per supportare il
> progetto

Squid è su openWRT ma gli embedded solitamente non lo possono tanto ospitare.
Ti dissi polipo. Vuoi farlo su embedded o server capace ?

Se vogliamo fare solo la pagina di splash non c'è bisogno di proxy,
basta una pagina html sull' uhttpd di openWRT.
Si configura una istanza su una porta diversa e si chiede a iptables
di riscrivere su quella, ovviamente sulla 80 del router non si và più
in gestione ( perchè ricade nella regola di redirect ) e nemmeno in
SSL ( perchè le ricerche su google ormai sono in automatico su 443 ),
quindi si dovrebbe spostare le porte del web management.



Maggiori informazioni sulla lista Calabria