Transparent proxy
-
Tenho seguinte cenario, possui pfsense intalado com squid e squidguard instalado vou trocar hoje o Endian pelo PFsense… porém encontrei seguinte dificuldade, meus usuario 50% utilizam proxy configurado no browser e 50 % nao possui o proxy configurado no browser, ativei o proxy transparente no servico do squid todas as requisicoes na porta http passa super tranquilo porem preciso que ele libere no proxy transparente a porta https, pois n vou conseguir mudar todos os proxys dos meus usuarios, sei do erro de seguranca que existe n utilizar proxy etc... porém necessito gerar fatos e argumentos ( relatorios ) para depois aplicar medidas cabiveis, o endian esta peduro de + e fora que Pfsense show, ..
Gostaria da ajuda de vcs liberar mesmo por proxy transparente a requisicao de https, me falaram que necessita liberar no iptables porem n entendo mt de iptables..
Então Marcelo,
Proxy transparente + HTTPS não funcionam, não por causa do squid e sim pela criptografia do protocolo, ou seja, o squid não conseguira interceptar o pacote https e trata-lo.
Só é possível proxy transparente com http e alguns outros protocolos não criptografados.
Se precisa fazer relatorio de acesso https e não quer configurar manualmente os browser's, terá que abordar outro cenário, como o exemplo de uso de script-login, dhcp, etc.. abordado em outro post pelo o seu xará.
-
Se precisa fazer relatorio de acesso https e não quer configurar manualmente os browser's, terá que abordar outro cenário, como o exemplo de uso de script-login, dhcp, etc.. abordado em outro post pelo o seu xará.
Presente de primeiro post ;)
http://forum.pfsense.org/index.php/topic,45724.0.html
-
Agora chegamos ao X da questao esses 50% que n tem o proxy configurado sao consultores que vem de outras empresas ou seja n estao no dominio…..:(
-
Agora chegamos ao X da questao esses 50% que n tem o proxy configurado sao consultores que vem de outras empresas ou seja n estao no dominio…..:(
Então vamos ao gabarito questão, o post que te passei fala exatamente disso.
usando o browser do consultor com "detectar configurações de proxy" o navegador vai funcionar tanto na sua empresa com proxy configurado quanto em outra sem proxy.
-
Realmente agora que le seu forum…valeuu desculpa pela confusao vou testar e informo posteriormente....
-
ta dificil pessoal acabei de ter informacao que n esta habilidatado o auto detect nos broswer do pessoal
-
ta dificil pessoal acabei de ter informacao que n esta habilidatado o auto detect nos broswer do pessoal
A questão agora é gerencial, a solução técnica você já tem.
-
n consigo add regra no Iptables? ou direto na console.. ???
-
Como o Luiz Gustavo já explicou, https não funciona transparente.
Existe uma remota possibilidade da função ssl men in the middle do dansguardian funcionar em modo transparente, mas a questão de filtrar ou não ssl é mais complicada que habilitar uma opção no browser.
Ps: iptables só tem no Linux, o pfsense é baseado em freebsd(pf + ipfw)
-
Ps: iptables só tem no Linux, o pfsense é baseado em freebsd(pf + ipfw)
Graças a Deus e aos nossos developers do fbsd ;D
e no pfsense, tudo que você precisa fazer em relação a regras de firewall, nat e etc. pode ser feito tudo via webgui ;)
Não precisa decorar os milhões de opções, etc… do iptables
Conheça um pouco do PF, lendo o handbook do freebsd:
http://www.freebsd.org/doc/handbook/firewalls-pf.html
http://www.freebsd.org/cgi/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=FreeBSD+8.1-RELEASE&arch=default&format=html -
Obrigado todos pela ajuda, vocês estavam me indiacando caminho correto, por presão para n parar pensar em uma solução vivavel acabei me precipitando…. utilizei como muito bem mencionado assima WPAC, funcionou tanto quem estava marcado auto detect como quem não estava
Agradeço bastante à todos
-
funcionou tanto quem estava marcado auto detect como quem não estava
Posta o procedimento do milagre.
Você configurou o dns+dhcp?
-
Fui buscar uma outra fonte….
Segue fonte do milagre...
Funcionou direitinho... se tiver alguma duvida... posso tentar ajudar..conheço + mundo do Windows que do linux pretendo inverter os papeis..rsrsrshttp://blog.ninjatek.co.za/2010/11/proxy-autodetection-using-pac-file-and.html
-
O doc sugere dns + dhcp e/ou GPO.
Tres tiros :D
-
Isso mesmo porém so fiz DHCP e DNS… teoricamente n e necessáro GPO.. funcionou redondo...
