(Resolvido)Como liberar o Outlook junto com o squid?

adert · Sep 24, 2011, 8:47 PM

Oi pessoal, blz?

Meu pfsense está configurado para trabalhar em https, configurei o squid(porta 3128) e o squidguard e as regras de bloqueios e permissões estão funcionando.

O squid não está no modo transparente, o método de autenticação que estou usando é o LOCAL.

O problema é que o Outlook não está funcionando. Já tentei configurar regras de firewall usando as portas 25(SMTP) e 110(POP3), mas não deu certo.

Minhas dúvidas são as seguintes:

Onde devo criar estas regras na WAN ou na LAN?

Na configuração das portas devo usar 25 e 110, ou 465 e 995, já que, o pfsense está configurado para https?

Não sei em que ordem devo configurar essas regras, se antes ou depois da regra do proxy.

Enfim, estou um pouco perdido.

valeu.

adert · Sep 13, 2011, 1:45 AM

Só uma correção: o squid está usando a porta 8080.

marcelloc · Sep 13, 2011, 4:22 AM

@adert:

Onde devo criar estas regras na WAN ou na LAN?

Na configuração das portas devo usar 25 e 110, ou 465 e 995, já que, o pfsense está configurado para https?

Não sei em que ordem devo configurar essas regras, se antes ou depois da regra do proxy.

adert,

O Pfsense é um firewall statefull, então por padrão toda e qualquer regra é criada na interface de origem da comunicação, ou seja, se o seu cliente outlook vai na Internet buscar emails, você cria a regra onde o cliente do outlook esta(LAN).

Se é a Internet que manda emails para seu servidor interno, você libera o acesso na WAN e assim por diante.

A configuração da interface web do pfsense(80 ou 443) não interfere nas suas regras de squid e email. O ssl é somente para criptografar a comunicação entre sua máquina e o servidor web do pfsense.

Nota importante:

Confira as configurações de 'outbound nat' do seu pfsense, geralmente o 'nat automatico de saida' é suficiente para pequenas redes.
Para um bom entendimento das regras, é importantíssimo um bom entendimento de TCP/IP.

att,

Marcello Coutinho

adert · Sep 13, 2011, 3:20 PM

Olá Marcelloc,

Então na minha LAN devo criar uma regra usando a porta SMTP, já que este é o protocolo de envio de mensagens. E na minha WAN devo criar uma regra usando a porta POP3, pois este é o protocolo de recebimento.

É isso?

Outra dúvida é que meu squid exige autenticação(usuario e senha) para navegar. É possível usar o Outlook com o squid configurado desta forma?
se possível, como faço?

Valeu aí marcelloc

marcelloc · Sep 14, 2011, 2:35 AM

Se você vai no servidor enviar smtp e buscar pop3, as duas regras ficam na LAN, afinal é o cliente que solicita as duas ações.

Com relação ao outlook, ele use as configurações de proxy do internet explorer quando o conteúdo do email inclui páginas de internet. Fora isso ele não precisa de internet/squid.

adert · Sep 14, 2011, 2:34 PM

Marcelloc, tá quase lá. Fui seguindo tuas dicas em relação as regras e tá quase tudo como o desejado.

O problema é o seguinte:

Para fazer com que os usuários naveguem somente pelo proxy, jogo aquela regra LAN DEFAULT pra ser a última regra e marco block para ela, assim as pessoas só acessam a internet se configurarem o proxy corretamente. Só que dessa maneira o Outlook não funciona.

Porém quando marco pass para essa regra, o Outlook funciona perfeitamente, mas em compensação os usuarios conseguem navegar sem proxy e aí se livram dos bloqueios.

As regras da LAN estão como na imagem que segue.

A imagem mostra a segunda situação, onde o outlook funciona, mas as pessoas conseguem navegar sem ser pelo proxy( e isso eu não quero).

Será que tu consegue perceber onte está o meu erro?

valeu pela ajuda.

marcelloc · Sep 14, 2011, 3:41 PM

Mude a regra do smtp e pop3 para origem lannet e destino seu servidor de smtp/pop3.

Assim Voce diz que qualquer cliente de sua rede pode acessar seu servidor de smtp/pop3.

Depois disso pode bloquear a outra regra.

adert · Sep 14, 2011, 4:16 PM

Marcelloc, tentei aqui e nao funcionou.

pesquisando um pouco mais vi que tem gente que, usando o redirecionamento da porta http para a porta do proxy, consegue forcar o uso do proxy, sem desabilitar a regra LAN DEFAULT.

tu acha que dar certo

tu sabe fazer

valeu.

marcelloc · Sep 14, 2011, 7:19 PM

Proxy transparente vai funcionar só para a HTTP, HTTPS não.

Para evitar dois cenarios, é melhor deixar todo mundo marcando o proxy mesmo.

att,
Marcello Coutinho

adert · Sep 15, 2011, 6:36 PM

Cara, a luta ta grande viu, tem hora que dar certo e depois para de funcionar.

ja tentei muita coisa, minha ultima cartada vai ser reinstalar o pfsense e aos pouco ir adicionando as suas funcionalidades pra perceber em que momento a coisa desanda.

Qualquer outra dica e bem vindo.

valeu.

marcelloc · Sep 16, 2011, 12:30 AM

Esquisito isso.

Da uma olhada se Nao tem 'confusao' de dns no seu pfsense.
Vai na console e da um cat /etc/resolv.conf

Se o squid hora consegue resolver nome ora não, Voce vai ver este tipo de instabilidade.

Com relação as regras, pode despreocupar. Seu cenário é bem simples.

Att,
Marcello Coutinho

adert · Sep 24, 2011, 8:47 PM

Olá, marcelloc

Tou passando só pra dizer que o problema do outlook foi solucionado, mas antes vou dar uma recapitulada como estava minha situação.

Para forçar o uso do proxy, mantinha a regra Lan default marcada como block, mas em compensação o outlook não funcionava. Então marcava pass na regra Lan default para que o outlook funcionasse, porém os usuários conseguiam navegar sem passar pelo proxy.

A solução que deu certo foi criar uma regra de LAN bloqueando o tráfico pela porta 80, com isso foi possível deixar a regra Lan Default marcada como pass, o que libera o outlook. E como foi criada esta regrar que bloqueia a porta 80, os usuários só conseguem navegar pelo proxy.

Marcelloc, mais uma vez obrigado pelo empenho.

OBS: no post de abertura meu pfsense trabalhava em https, mas quando reinstalei optei por http, por isso neste post falei em bloquear porta 80.

marcelloc · Sep 25, 2011, 2:01 AM

Ok.

So tenha em mente que a próxima evolução dos seus usuários é navegar via https para pular o proxy.