openti, minha recomendação seria utilizar um squid + squidguard. Separe seus usuários por UO (unidade organizacional) no AD e crir ACLs no squidguard uma para cada UO. Aí, vc libera e bloqueia conforme necessidade. Os usuários pertencentes àquela unidade organizacional poderão ter acesso ou não a internet de acordo com a sua vontade. Lá na tela de ACL do squidguard ele te informa a forma como autenticar no LDAP do Windows Server.

@ciprianodf:

Bom dia Amigos!

Estou com um pequeno problema:

Tenho uma VPN IPSEC configurada no Pfsense  entre minha rede interna e um ambiente de desenvolvimento em um provedor de cloud funcionando 100%

Devido a necessidade de execução de trabalhos emergenciais e muitas vezes remoto decidimos conceder acesso a alguns desenvolvedores a uma VPN open vpn client to site para que remotamente eles consigam acessar o ambiente de desenvolvimento na hospedagem.

Consigo me conectar via Open VPN a minha rede interna sem nenhum problema, mas ao tentar me conectar aos servidores na hospedagem ao inves do Pfsense enviar os pacotes para o tunel IPSEC ele está enviando para a internet. Tentei localizar as regras de roteamento da rede interna para o tunel mas nao encontrei.

Por motivos de segurança o provedor de cloud não libera vpn client to site. Por isso a necessidade de passar primeiro pela minha rede interna.

Dados da instalação:

rede interna: 192.168.100.0/24
rede open vpn: 192.168.10.0/29
redes IPSEC site to site: 10.1.53.0/24 e 10.1.43.0/25

Agradeço a  ajuda!

Com as regras você pode definir bloqueios e liberações fera.

Abraços

openti, minha recomendação seria utilizar um squid + squidguard. Separe seus usuários por UO (unidade organizacional) no AD e crir ACLs no squidguard uma para cada UO. Aí, vc libera e bloqueia conforme necessidade. Os usuários pertencentes àquela unidade organizacional poderão ter acesso ou não a internet de acordo com a sua vontade. Lá na tela de ACL do squidguard ele te informa a forma como autenticar no LDAP do Windows Server.

Mas como o danilosv.03 disse:

De uma pesquisada sobre LDAP

Faça isso para você aprender mais.

D4v1XD, Também estou precisando dos relatórios. Você conseguiu fazer funcionar com com db externo ?

Valeu.

Bom dia Tomas,

Eu já estou planejando essa atualização porém antes, preciso ver se não haverá problemas com as pontas remotas já que tenho VPN S2S!

Boa tarde, indica que sua pág de login está com erro…

pois a minha funciona do jeito que vc falou...

quando  ele conecta na rede de visitantes automaticamente abre a janela de autenticação

ATT

a melhor forma de fazer funcionar ok é com WPAD!
vc coloca no script pra não passar pelo proxy quando for o site da receita!
E de preferência procure quais são os IP fixos do serviço e coloque uma regra no firewall para acesso direto!

o meu WPAD é assim:

function FindProxyForURL(url, host) {         // se o site estiver na rede interna, retorna conexao direta.         if (isPlainHostName(host) ||         isInNet(dnsResolve(host), "192.168.1.0",  "255.255.255.0") ||         isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))         return "DIRECT";         // se o site tiver os caracteres especificados em seu endereco (se for o sefaz de goias)         if (shExpMatch(url, "*app.sefaz.go.gov.br*") ||         shExpMatch(url, "*receita.fazenda.gov.br*"))         return "DIRECT";         // DEFAULT RULE: All other traffic.         return "PROXY 192.168.1.1:3128"; }

quanto aos IPs da receita tenho esses abaixo. (Faça um alias com essas networks aee e coloca numa regra de liberação de acesso)

161.148.0.0/16
189.9.71.0/24
200.198.239.0/24

esses endereços achei em um link da receita: https://idg.receita.fazenda.gov.br/programas-para-download/receitanet/perguntas-e-respostas/qual-a-configuracao-do-proxy-e-firewall-para-transmissao-pelo-receitanet

@lucasassis:

@jao_mezari:

Em Source Ports acredito que você pode deixar como any e não precisa ser a mesma porta interna para o qual vai ser redirecionado.

Boa tarde, Joao!

Realizei essa mudança e funcionou.

Que bom, cara. Marca como resolvido lá em cima pro pessoal saber que tá ok.

Abraço!

Eu passei por um perrengue pra conseguir usando essa solução, fiz o seguinte:

Criei um Alias com esses endereços e uma regra deixando liberado da LAN para eles na porta 80 e 443

104.131.131.132/32 104.200.24.34/32 109.123.106.250/32 109.74.197.59/32 151.236.219.57/32 162.216.16.201/32 162.216.18.163/32 173.230.146.110/32 173.230.152.57/32 173.255.209.236/32 173.255.213.36/32 173.255.214.49/32 173.255.214.53/32 173.255.218.51/32 173.255.226.186/32 173.255.232.151/32 173.255.234.245/32 173.255.234.85/32 173.255.243.160/32 173.255.245.232/32 173.255.253.150/32 173.255.254.232/32 176.58.100.154/32 176.58.101.140/32 176.58.104.101/32 176.58.110.248/32 176.58.111.122/32 176.58.111.124/32 176.58.111.163/32 176.58.112.126/32 176.58.112.160/32 176.58.115.138/32 176.58.115.39/32 176.58.117.5/32 176.58.117.75/32 176.58.119.151/32 176.58.124.244/32 176.58.97.188/32 176.58.98.13/32 176.58.98.155/32 176.58.99.196/32 176.58.99.197/32 178.79.128.94/32 178.79.138.31/32 178.79.140.188/32 178.79.143.222/32 178.79.150.32/32 178.79.152.167/32 178.79.153.233/32 178.79.157.41/32 178.79.159.237/32 178.79.163.250/32 178.79.164.196/32 178.79.181.233/32 178.79.182.43/32 178.79.183.81/32 178.79.186.194/32 178.79.188.10/32 178.79.190.135/32 178.79.190.174/32 192.155.84.126/32 192.155.86.247/32 192.155.87.170/32 192.81.129.218/32 192.81.134.251/32 198.58.97.43/32 198.74.49.240/32 198.74.57.188/32 198.74.58.243/32 209.157.64.162/32 209.157.64.163/32 209.157.64.164/32 209.157.64.165/32 209.157.64.166/32 209.157.64.167/32 209.157.64.168/32 209.157.64.169/32 209.157.64.170/32 209.157.64.171/32 209.157.64.172/32 209.157.64.173/32 209.157.64.174/32 209.157.64.175/32 209.157.64.176/32 209.157.64.177/32 209.157.66.226/32 209.157.66.227/32 209.157.66.229/32 209.157.66.230/32 209.157.66.232/32 209.157.66.234/32 209.157.66.235/32 209.157.66.236/32 209.157.66.237/32 209.157.66.238/32 209.157.66.239/32 209.157.66.240/32 209.157.66.241/32 209.157.66.242/32 209.157.66.243/32 209.157.66.244/32 209.157.66.245/32 209.157.66.246/32 209.157.66.247/32 209.157.66.248/32 209.157.66.249/32 209.157.66.253/32 212.227.96.110/32 212.71.233.60/32 212.71.251.168/32 212.71.251.182/32 212.71.252.146/32 213.171.205.141/32 213.171.205.238/32 213.171.205.77/32 213.171.205.78/32 213.171.206.148/32 213.171.207.47/32 213.171.207.48/32 213.171.207.62/32 213.171.207.71/32 213.171.207.72/32 217.174.248.233/32 217.174.249.167/32 217.174.249.223/32 217.174.249.232/32 23.239.11.145/32 23.239.13.41/32 23.239.15.84/32 23.92.19.91/32 23.92.26.7/32 23.92.27.240/32 50.116.11.250/32 50.116.14.27/32 50.116.19.218/32 50.116.2.121/32 50.116.3.153/32 50.116.3.42/32 50.116.4.68/32 50.116.50.102/32 50.116.50.105/32 50.116.50.109/32 50.116.50.197/32 50.116.50.202/32 50.116.54.198/32 50.116.61.111/32 50.116.61.155/32 50.116.62.242/32 50.116.63.215/32 50.116.63.216/32 66.175.214.89/32 66.175.223.13/32 66.228.48.183/32 74.207.240.108/32 74.207.252.229/32 74.208.106.28/32 74.208.78.224/32 74.208.79.219/32 74.208.79.224/32 74.208.99.25/32 77.68.39.21/32 77.68.39.31/32 80.85.85.133/32 80.85.85.200/32 80.85.85.58/32 85.159.211.160/32 87.106.104.112/32 87.106.11.214/32 87.106.11.38/32 87.106.12.77/32 87.106.128.170/32 87.106.13.61/32 87.106.141.10/32 87.106.183.224/32 87.106.209.135/32 87.106.209.149/32 87.106.210.57/32 87.106.214.177/32 87.106.240.160/32 88.208.202.90/32 88.208.202.91/32 88.208.248.146/32 88.208.248.164/32 88.208.248.199/32 88.208.248.200/32 88.80.184.106/32 88.80.185.201/32 88.80.190.155/32 96.126.106.194/32 96.126.98.211/32 97.107.134.71/32 91.228.166.14/32 104.131.131.132 104.200.24.34 109.123.106.250 109.74.197.59 151.236.219.57 162.216.16.201 162.216.18.163 173.230.146.110 173.230.152.57 173.255.209.236 173.255.213.36 173.255.214.49 173.255.214.53 173.255.218.51 173.255.226.186 173.255.232.151 173.255.234.245 173.255.234.85 173.255.243.160 173.255.245.232 173.255.253.150 173.255.254.232 176.58.100.154 176.58.101.140 176.58.104.101 176.58.110.248 176.58.111.122 176.58.111.124 176.58.111.163 176.58.112.126 176.58.112.160 176.58.115.138 176.58.115.39 176.58.117.5 176.58.117.75 176.58.119.151 176.58.124.244 176.58.97.188 176.58.98.13 176.58.98.155 176.58.99.196 176.58.99.197 178.79.128.94 178.79.138.31 178.79.140.188 178.79.143.222 178.79.150.32 178.79.152.167 178.79.153.233 178.79.157.41 178.79.159.237 178.79.163.250 178.79.164.196 178.79.181.233 178.79.182.43 178.79.183.81 178.79.186.194 178.79.188.10 178.79.190.135 178.79.190.174 192.155.84.126 192.155.86.247 192.155.87.170 192.81.129.218 192.81.134.251 198.58.97.43 198.74.49.240 198.74.57.188 198.74.58.243 209.157.64.162 209.157.64.163 209.157.64.164 209.157.64.165 209.157.64.166 209.157.64.167 209.157.64.168 209.157.64.169 209.157.64.170 209.157.64.171 209.157.64.172 209.157.64.173 209.157.64.174 209.157.64.175 209.157.64.176 209.157.64.177 209.157.66.226 209.157.66.227 209.157.66.229 209.157.66.230 209.157.66.232 209.157.66.234 209.157.66.235 209.157.66.236 209.157.66.237 209.157.66.238 209.157.66.239 209.157.66.240 209.157.66.241 209.157.66.242 209.157.66.243 209.157.66.244 209.157.66.245 209.157.66.246 209.157.66.247 209.157.66.248 209.157.66.249 209.157.66.253 212.227.96.110 212.71.233.60 212.71.251.168 212.71.251.182 212.71.252.146 213.171.205.141 213.171.205.238 213.171.205.77 213.171.205.78 213.171.206.148 213.171.207.47 213.171.207.48 213.171.207.62 213.171.207.71 213.171.207.72 217.174.248.233 217.174.249.167 217.174.249.223 217.174.249.232 23.239.11.145 23.239.13.41 23.239.15.84 23.92.19.91 23.92.26.7 23.92.27.240 50.116.11.250 50.116.14.27 50.116.19.218 50.116.2.121 50.116.3.153 50.116.3.42 50.116.4.68 50.116.50.102 50.116.50.105 50.116.50.109 50.116.50.197 50.116.50.202 50.116.54.198 50.116.61.111 50.116.61.155 50.116.62.242 50.116.63.215 50.116.63.216 66.175.214.89 66.175.223.13 66.228.48.183 74.207.240.108 74.207.252.229 74.208.106.28 74.208.78.224 74.208.79.219 74.208.79.224 74.208.99.25 77.68.39.21 77.68.39.31 80.85.85.133 80.85.85.200 80.85.85.58 85.159.211.160 87.106.104.112 87.106.11.214 87.106.11.38 87.106.12.77 87.106.128.170 87.106.13.61 87.106.141.10 87.106.183.224 87.106.209.135 87.106.209.149 87.106.210.57 87.106.214.177 87.106.240.160 88.208.202.90 88.208.202.91 88.208.248.146 88.208.248.164 88.208.248.199 88.208.248.200 88.80.184.106 88.80.185.201 88.80.190.155 96.126.106.194 96.126.98.211 97.107.134.71

Após liberar todos esses endereços nunca mais tive problemas com Eset
Lembre-se de ir também no seu painel do Eset e colocar suas configurações de rede corretamente, ai seus clientes receberão direito, as portas que tive que liberar além dessas (80 e 443) para o Eset:

9980 e 9981

Aqui não tive nunca mais problemas com o Eset. Recomendo que crie as regras tanto no firewall quando uma whitelist no Squidguard para esses ips e safe ports acl também para essas portas acima.
Att.

Obrigado Cavalcante, vc é fera também.
Altere o post como resolvido!

Abraços.

Opa. Também tenho essa dúvida.

alguém pode ajudar?

Obrigado pelo interesse em ajudar.
Porem eu preciso liberar outros usuarios acessarem que nao sejam administradores.
Só preciso bloquear o admin de fazer login no webgui ou nao permitir que outros usuarios tenham permissao de alterar a senha do admin.
Alguem ajuda??

@fabcostarj:

Meu amigo,

Servidor Dell R620 a configuração é o seguinte:

Processador= Intel Xeon E5-2620 v2 - 2.10 Ghz

Memoria= 32.0 MB

Placa de rede= São 4 o modelo delas é Broadcom NetXtreme Gigabit.

Controladora= PERC H710 Mini

Servidor Dell R630 a configuração é o seguinte:

Processador= Intel Xeon E5-2620 v3 - 2.40 Ghz

Memoria= 32.0 MB

Placa de rede= São 4 o modelo delas é Broadcom NetXtreme Gigabit.

Controladora= PERC H730 Mini

Os servidores utilizam HD SAS.

Obrigado.

Meu amigo, tu com um servidor desse faz até inveja. Pode ficar tranquilo enquanto a isso. O Pfsense vai rodar lindo e leve nesse serv.

Obrigado galera pela ajuda

amigo como faço isso?

@empbilly:

Pra que tu possa trabalhar abrangendo todos os tipos de dispositivos, tu vai precisar configurar o squid com o Splice ALL.

Dá uma olhada no tutorial abaixo. É bem básico, mas já ajuda.

https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/

empbilly,
Consegui fazer a instalação dos pacotes e ainda estou configurando as restrições que ainda não estou conseguindo aplicar. Mas uma dúvida que venho durante a configuração, sabe me dizer se é possível com e2guardian fazer os bloqueios dos sites e amarzenar os logs baseado no voucher autenticado ou no usuário local?

Grato.

Sim.

Só disse pra facilitar a vida do usuário e você ter tempo de consegui a solução para seu método de acesso mais seguro. Nossa vida é correria e quanto menos tempo resolvermos para o usuário melhor. Ele nem se importa com direcionamento de porta e nem regras de firewall.

Com porta alta você usa o conceito de segurança por obscuridade mas tudo bem.

Agora se você quer fazer ele acessar apenas um host e quer usar vpn cliente do pfsense no modo client-to-site ele vai acessar a rede toda por que vc vai dizer pro cliente conhecer a rede e não um host.

Tenta fazer o seguinte:

na interface de vpn vc cria a regra no topo da lista e diz que o ip do cliente movel vai acessar apenas um host na rede. Mas vc tem que criar um regra logo a abaixo para blok ele do resto da rede e logo a baixo a regra any.

Se der certo posta ai.

só pra ter certeza que é algo do pfsense ou do seu shaper, faz o seguinte:

antes dessa sua regra, cria uma regra acima dela na interface lan, de qualquer lugar para qualquer lugar (* para *) apenas no protocolo IPV4 e ICMP

salva, aplica e testa o ping

essa regra vai fazer com que apenas o ICMP não passe pelo shaper. Se com isso não aumentar o ping para 2k como vc falou, então pode ser seu shaper com alguma configuração incorreta.
Senão, é algum outro equipamento ou configuração