Proxy transparente ou configuração automatica de proxy?
-
Me deparei com alguns problemas com essas soluções..
1° A 1 solução de se criar um script e configurá-lo em um servidor web é meio estranho não intendi muito bem a explicação daquele tutorial, sendo que a adição de + 1 servidor em uma rede interna apenas para isso se torno inviável ou mesmo adiciona-lo em algum servidor já existente seria inseguro.
2º A 2 solução se torna + fácil,pois seria configurado diretamente no domínio,porém como posso aplicar a solução ao DHCP sendo aplicado pelo Pfsense e não pelo DHCP do windows 2008 ou 2003 ou mesmo se uma pessoa levar o computador e tentar configura-lo em outra rede .. ele ainda estaria buscando tal proxy da antiga conexão ?Marcello qual solução o senhor usa ou normalmente recomenda para se usar sabendo-se que vários usuários utilizam diferentes navegadores.
Grato! -
Amigo,
Me permita responder.
Primeiro.. não é ideal vc ter um firewall como servidor de DHCP ou outra função. se existe um servidor windows, vc pode utilizar ele como DHCP e DNS interno tenha em mente que firewall é para ser firewall.
Qualquer maquina XP, 2003, 7, 2008 pode ser um servidor web (IIS) ou então vc pode usar uma simples maquina Virtual com apache.
-
Vina18,
1° A 1 solução de se criar um script e configurá-lo em um servidor web é meio estranho não intendi muito bem a explicação daquele tutorial, sendo que a adição de + 1 servidor em uma rede interna apenas para isso se torno inviável ou mesmo adiciona-lo em algum servidor já existente seria inseguro.
Você pode hospedar o script de configuração automática em qualquer servidor web, até no /usr/local/www/ do seu proprio pfsense.
Este procedimento é seguro.
2º A 2 solução se torna + fácil,pois seria configurado diretamente no domínio,porém como posso aplicar a solução ao DHCP sendo aplicado pelo Pfsense e não pelo DHCP do windows 2008 ou 2003 ou mesmo se uma pessoa levar o computador e tentar configura-lo em outra rede .. ele ainda estaria buscando tal proxy da antiga conexão ?
Se você forçar via ad a atualização do navegador do cliente, esta alteração vai afetar o uso de notebook em casa.
Esta solução funciona muito bem com o dns,dhcp configurados para fornecer o script e o browser marcado com a opção detectar automaticamente o servidor de proxy.
-
Vou testar tal solução nesse final de semana :)
Captive portal + freeradius+autenticação via ad+bloqueio de portas https(já feito)+squidguard devidamente configurado com blacklist(feito)+balanceamento de banda+trafic shaping para p2p+ solução de proxy automática.
Testes e + testes
Me desejem sorte ;D
-
Coloca uma pitada de dansguardian nesta receita também. :)
-
Atualizei o primeiro post com um faq para facilitar o entendimento.
-
Seguindo as orientações de marcello, vou colocar a configuração automatica de proxy.
E ja realizei a configuração do site http://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/ e deu primeira (testei em uma VM, não configurei o Pfsense com proxy mesmo, so testei pra ve se a VM pegava as configurações e pegou)
Vou fazer alguns testes a mais e colocar pra funcionar aqui!!!
Adeus Https liberado!!! ;D ;D ;D
-
amigo,
Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.
thiago..
-
marcelloc,
Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?
Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?
;)
Abraços!
Jack -
marcelloc,
Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?
Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?
;)
Abraços!
JackPensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..
não é ?? tenho que digitar usuario/senha ?? é isso ??
-
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
-
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
-
Pensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..
não é ?? tenho que digitar usuario/senha ?? é isso ??Exatamente… por default o seu usuário vai precisar digitar login e senha (os mesmos do AD, claro) a cada 1ª vez que abrir o browser. Só assim vai conseguir se autenticar no proxy e, por consequente, navegar na web.
Para contornar isso, somente usando algum recurso mencionado na excelente explicação do marcelloc… Onde você autentica de forma transparente. Nestes casos, o browser usa as mesmas credencias de login no Windows para autenticar o usuário no proxy.
É importante entender que ter um Proxy Autenticado não significa dizer que a autenticação será transparente (automática)! ;)
Abraços!
Jack -
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
-
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.
-
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.Exatamente…
Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!
O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)
Abraços!
Jack -
Rapaz,
Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic,
quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.Porém o marcelo falou o seguinte.
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Ai junto com outro colega do forum deu um nó na cabeça..
Poderia explicar com mais detalhe.. a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??
-
A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.
A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.
-
Então marcelo,
Resumão..
Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
navegador..?? -
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.
