Glasswall proxy exclusion configuration guide (PAC)
अवलोकन
macOS और Windows पर हमारे ICAP proxy implementation के आंतरिक परीक्षण के दौरान, हमने यह पहचाना कि browser-level और system-level proxy exclusions को संभालने के तरीके में एक महत्वपूर्ण सीमा है:
- वर्ण सीमाएँ: दोनों प्लेटफ़ॉर्म स्थानीय exclusion list ("bypass proxy for" फ़ील्ड) के लिए अधिकतम वर्ण संख्या लागू करते हैं।
- प्रभाव: जब यह सीमा पार हो जाती है, तो कुछ सिस्टम बिना किसी सूचना के proxy को पूरी तरह bypass करने पर लौट जाते हैं, जिससे policy enforcement में गंभीर अंतर पैदा होते हैं।
इस समस्या से बचने के लिए, हम प्रति-डिवाइस कॉन्फ़िगरेशन पर निर्भर रहने के बजाय PAC (proxy auto-config) file का उपयोग करके proxy exclusions को केंद्रीय रूप से प्रबंधित करने की अनुशंसा करते हैं।
अनुशंसित तरीका: PAC file का उपयोग करें
PAC file क्या है?
proxy auto-config (PAC) file एक JavaScript-आधारित configuration script है, जो request URLs, domains, IPs, या अन्य parameters के आधार पर proxy behavior को dynamic रूप से परिभाषित करती है।
लाभ
| लाभ | विवरण |
|---|---|
| ✅ केंद्रीकृत नियंत्रण | सभी clients एक centrally hosted PAC file को reference करते हैं। एक बार update करें, और सभी clients को बदलाव मिल जाएगा। |
| 🚫 कोई character limit नहीं | एक PAC file में सैकड़ों exclusions और ऐसी logic शामिल हो सकती है, जो GUI field में संभव चीज़ों से कहीं अधिक हो। |
| 🔄 Dynamic routing | Conditional logic परिभाषित करें (उदा. "इन domains को छोड़कर बाकी सबके लिए proxy का उपयोग करें")। |
| 🔐 policy की अखंडता | यह सुनिश्चित करता है कि सभी clients proxy bypass के जोखिम के बिना समान exclusion logic लागू करें। |
Implementation steps
1. PAC file बनाएँ
निम्न उदाहरण को आधार के रूप में उपयोग करें:
function FindProxyForURL(url, host) {
// Domains to bypass proxy
if (dnsDomainIs(host, "internal.glasswall.com") ||
shExpMatch(host, "*.corpnet.glasswall.local") ||
isInNet(host, "10.0.0.0", "255.0.0.0")) {
return "DIRECT";
}
// Everything else goes through ICAP proxy
return "PROXY proxy.glasswall.com:3128";
}
आवश्यकतानुसार domain patterns और subnet IPs को अनुकूलित करें।
2. PAC file होस्ट करें
इसे network-accessible location में रखें:
- Internal web server (उदा.
https://intranet.glasswall.com/proxy.pac) - Network share (macOS-compatible SMB path या DFS)
सुनिश्चित करें कि यह है:
- सुरक्षित (HTTPS वरीय)
- सभी endpoints द्वारा पठनीय
- Version controlled
3. clients को PAC उपयोग करने के लिए कॉन्फ़िगर करें
Windows
- Use Group Policy (GPO) or Intune:
Automatic proxy configurationको hosted PAC URL पर सेट करें।- character limit के दुरुपयोग को रोकने के लिए manual exclusions अक्षम करें।
macOS
- Use your Apple MDM provider
.mobileconfigके माध्यम से proxy auto-config सक्षम करें:
<key>ProxyAutoConfigURLString</key>
<string>https://intranet.glasswall.com/proxy.pac</string>
4. कॉन्फ़िगरेशन का परीक्षण करें
- Open a browser and verify proxy behavior:
- बाहरी साइटों तक पहुँचें (ICAP के माध्यम से रूट होना चाहिए)।
- बहिष्कृत डोमेन/IPs तक पहुँचें (सीधे जाना चाहिए)।
आंतरिक परीक्षण से नोट्स
- ऐसे edge cases जहाँ browser extensions या third-party apps अतिरिक्त proxy नियम लागू करते हैं, PAC file को override कर सकते हैं।
- Browser के hardcoded exclusions (उदा.
localhost,127.0.0.1) का अब भी सम्मान किया जाता है।
🔧 समस्या निवारण
| लक्षण | संभावित कारण | समाधान |
|---|---|---|
| सारा ट्रैफ़िक proxy को bypass करता है | Exclusion list में character limit पूरी हो गई | PAC file का उपयोग करें |
| PAC file का पालन नहीं किया जा रहा | URL तक पहुँचा नहीं जा सकता या वह गलत तरीके से कॉन्फ़िगर है | पुष्टि करें कि URL client machine से सुलभ है |
| ऐप PAC को अनदेखा करता है | ऐप system proxy settings का उपयोग नहीं करता | ऐप को अलग से कॉन्फ़िगर करें या firewall rules के माध्यम से लागू करें |
सारांश
proxy exclusions को प्रबंधित करने के लिए PAC file पर स्विच करना:
- platform सीमाओं का समाधान करता है
- policy updates को केंद्रीकृत करता है
- misconfiguration के जोखिमों को कम करता है
- यह सुनिश्चित करता है कि security controls अक्षुण्ण रहें
इसे बड़े पैमाने पर परिनियोजित करने में सहायता के लिए, IT infrastructure या security engineering team से संपर्क करें।