Problem:
Windows kann nur einen beschränkten Zeichensatz im Feld für Proxyausnahmen annehmen. Das kann zum Beispeil ein Problem sein, wenn man für ein Programm Proxyausnahmen konfigurieren soll, es aber viele hunderte Adressen sind.
Lösung:
eine Lösung dazu kann sein, dass man eine proxy.pac Datei benutzt.
Wichtig dabei ist zu wissen dass bei diesem Vorgehen, dass die hier
freigegeben Domains natürlcih acuh im Klassenarbeitsmodus sowie unter
Internetsperre errichbar sind!
Diese Proxy.pac-Datei ist im wesentlich ein Java-Script, das man über einen Webserver veröffentlichen kann und in Windows eintragen:
In meinem Fall habe ich das so konfiguriert, dass auf dem LMN-Server ein weiterer HTTP-Server gestartet wird, der die Datei veröffentlich. Der systemd-Dienst dazu sieht so aus:
root@server:/opt/proxypac# cat /etc/systemd/system/proxy-pac.service
[Unit]
Description=Proxy PAC Webserver
After=network.target
[Service]
Type=simple
WorkingDirectory=/opt/proxypac
ExecStart=/usr/bin/python3 -m http.server 3128
Restart=always
User=www-data
[Install]
WantedBy=multi-user.target
Korrespondierend dazu, gibt es in diesem Ordner die Proxy.pac-Datei, welche entsprechend die Proxykonfiguration enthält:
root@server:/opt/proxypac# cat proxy.pac
function check_host(host)
{
const urls = [
"server.linuxmuster.lan",
"firewall.linuxmuster.lan",
"10.0.0.1",
"10.0.0.2",
"file01",
"localhost",
"127.0.0.1",
"w11-adobe",
"10.0.0.7",
"cds-fn.de",
"adbecrsl.com",
"adobe.ly",
"as.ftcdn.net",
"ds.adobe.io",
"ic.adobe.io",
"omniture.com",
"pgc.adobe.io",
"adobe.io",
"adobe.io",
"s.ftcdn.net",
"t3.ftcdn.net",
"t4.ftcdn.net",
"v.ftcdn.net",
"adobe.io",
"xd.adobe.com",
"cai.adobe.io",
"pps.adobe.io",
"adobesc.com",
"ftcdn.net",
"behance.net",
"adobe.com",
"bat.bing.com",
"c.betrad.com",
"c.evidon.com",
"adobetag.com",
"api.adobe.io",
"adobe.io",
"prosite.com",
"typekit.com",
"www.ietf.org",
"digicert.com",
"geotrust.com",
"godaddy.com",
"twitter.com",
"omniroot.com",
"symantec.com",
"symcb.com",
"symcd.com",
"thawte.com",
"verisign.com",
];
for(const u of urls)
{
if( dnsDomainIs(host,u) || dnsDomainIs(host, "."+u) )
{
return true;
}
}
return false;
}
function FindProxyForURL(url, host) {
if ( check_host(host) || isInNet(host, "10.0.0.0", "255.255.0.0") )
{
return "DIRECT";
}
return "PROXY http://firewall.linuxmuster.lan:3128";
}
Da die Anfragen jetzt nicht mehr an den Proxy-Server gesendet werden, ist wichtig dass man noch entsprechende Freigaben in der Firewall konfiguriert, meine Empfehlung ist das mit Alias zu machen:
Hierbei sollte man darauf achten, dass der Typ "Host(s)" ist. Außerdem sind keine Sonderzeichen erlaubt.
die Firewallregeln dazu sehen dann so aus:
Die Aliasse kan nman auch verschachteln, ist allerdings geschmackssache.
Das Setupskript kann man natürlich auch per GPO einstellen:
aktivieren muss man die Option ggf. mit F5