Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Proxy transparente ou configuração automatica de proxy?

    Scheduled Pinned Locked Moved Portuguese
    34 Posts 8 Posters 42.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      thiagomespb
      last edited by

      amigo,

      Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.

      thiago..

      1 Reply Last reply Reply Quote 0
      • JackLJ
        JackL
        last edited by

        marcelloc,

        Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?

        Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?

        ;)

        Abraços!
        Jack

        Treinamentos de Elite: http://sys-squad.com
        Soluções: https://conexti.com.br

        1 Reply Last reply Reply Quote 0
        • G
          gst.freitas
          last edited by

          @JackL:

          marcelloc,

          Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?

          Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?

          ;)

          Abraços!
          Jack

          Pensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..

          não é ?? tenho que digitar usuario/senha ?? é isso ??

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Resumindo a história.

            Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.

            Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.

            Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.

            Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • T
              thiagomespb
              last edited by

              Marcelo,

              Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
              terei que digitar usuário e senha  no browser ?? o processo não é automático ??
              para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?

              foi isso que eu entendi ??

              1 Reply Last reply Reply Quote 0
              • JackLJ
                JackL
                last edited by

                @gst.freitas:

                Pensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática.. 
                não é ?? tenho que digitar usuario/senha ?? é isso ??

                Exatamente… por default o seu usuário vai precisar digitar login e senha (os mesmos do AD, claro) a cada 1ª vez que abrir o browser. Só assim vai conseguir se autenticar no proxy e, por consequente, navegar na web.

                Para contornar isso, somente usando algum recurso mencionado na excelente explicação do marcelloc… Onde você autentica de forma transparente. Nestes casos, o browser usa as mesmas credencias de login no Windows para autenticar o usuário no proxy.

                É importante entender que ter um Proxy Autenticado não significa dizer que a autenticação será transparente (automática)! ;)

                Abraços!
                Jack

                Treinamentos de Elite: http://sys-squad.com
                Soluções: https://conexti.com.br

                1 Reply Last reply Reply Quote 0
                • T
                  thiagomespb
                  last edited by

                  @thiagomespb:

                  Marcelo,

                  Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
                  terei que digitar usuário e senha  no browser ?? o processo não é automático ??
                  para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?

                  foi isso que eu entendi ??

                  Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
                  se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..

                  Resumindo.. se ganha em pontos e perdem em outros..

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    @thiagomespb:

                    Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
                    se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..

                    Resumindo.. se ganha em pontos e perdem em outros..

                    Você foi seletivo na leitura deste post  :D

                    O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • JackLJ
                      JackL
                      last edited by

                      @marcelloc:

                      Você foi seletivo na leitura deste post  :D
                      O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.

                      Exatamente…

                      Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!

                      O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)

                      Abraços!
                      Jack

                      Treinamentos de Elite: http://sys-squad.com
                      Soluções: https://conexti.com.br

                      1 Reply Last reply Reply Quote 0
                      • G
                        gst.freitas
                        last edited by

                        Rapaz,

                        Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic, 
                        quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.

                        Porém o marcelo falou o seguinte.

                        Resumindo a história.

                        Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.

                        Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.

                        Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.

                        Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

                        Ai junto com outro colega do forum deu um nó na cabeça..

                        Poderia explicar com mais detalhe..  a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.

                          A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • T
                            thiagomespb
                            last edited by

                            Então marcelo,

                            Resumão..

                            Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
                            navegador..??

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

                              Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • T
                                thiagomespb
                                last edited by

                                Marcelo,

                                Traduzindo a sua frase em bom português.

                                o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação.   >:(

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  @thiagomespb:

                                  Marcelo,

                                  Traduzindo a sua frase em bom português.

                                  o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação.  >:(

                                  Traduzindo para o bom português, o pfsense é firewall e por ser um firewall não deveria ter (ou merecer) um protocolo como netbios rodando nele.

                                  Como qualquer servidor unix, você pode instalar o pacote que quiser, mas estamos falando de segurança antes de falar de funcionalidade.

                                  O dansguardian implementa outros protocolos de autenticação como por exemplo ident, mas a resposta do ident pode ser forjada facilmente.

                                  Por ser um firewall preparado para rodar desde um hardware embarcado até um servidor multicore com vários Gb de ram, a instalação padrão vem enxuta para evitar desperdício de recursos e excesso de serviços habilitados.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gst.freitas
                                    last edited by

                                    Marcelo,

                                    Vou discordar.. grande parte das UTM existentes no Mercado tem essa integração, posso citar alguns: Livres, Zentyal, Endian, pagos: BRMA, mcafee e o próprio fortigate sem ter que usar um squid fora do applicance..

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      Se você olhar o proxy que roda em um utm grátis, você vai encontrar o squid e o dansguardian. Eu até recomendo isso para você ver a quantidade de pacotes e serviços que vão embarcados em utm como o endian por exemplo.

                                      EDIT
                                      Leia uma parte da documentação do endian para você ver tudo o que conversamos neste tópico.
                                      http://docs.endian.com/proxy.html

                                      UTMs pagos, não usam software gratuito e portanto tem seu próprio método de autenticação. Especificamente o fortigate comunica via ad(usando ldap) para saber que usuário esta usando determinado ip.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • G
                                        gst.freitas
                                        last edited by

                                        Marcelo,

                                        É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
                                        ele já vem nativo, vide anexo.

                                        E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.

                                        NTLM.jpg
                                        NTLM.jpg_thumb

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          @gst.freitas:

                                          Marcelo,

                                          É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
                                          ele já vem nativo, vide anexo.

                                          O problema é basicamente segurança. Mas é claro que cada sysadmin tem sua opinião.

                                          Este tópico mostra com instalar o samba no pfsense
                                          http://forum.pfsense.org/index.php/topic,45828.0.html

                                          @gst.freitas:

                                          E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.

                                          O dansguarian não é gratuito. Isso pode não significar nada para muitos sysadmins brasilieiros, mas entre um software gratuito como o squidguard e um pago, o pessoal do pfsense optou pela solução gratuita.

                                          A beleza de um projeto open source é exatamente esta. Eu precisei que o pfsense fizesse um algo a mais e consegui. Assim como vários outros que contribuiram para o pfsense ser o firewall que é hoje.
                                          O fato de não ter uma interface gráfica não quer dizer que não roda.

                                          Eu uso, aprovo, gosto, indico, ajudo e contribuo com o pfsense. Até hoje pra mim é o firewall mais completo e personalizável que já trabalhei.

                                          Em breve, antes que levantem a bola por aqui, devo publicar um pacote para gerência e replicação de configurações/regras/alias/etc entre vários pfsenses.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • T
                                            thiagomespb
                                            last edited by

                                            Marcelo,

                                            Eu já testei vários e todos tem prós e contras.. até agora pfsense o melhor de todos..
                                            a faço questão em colocar ele em meus clientes. só ele pode ficar melhor com ajuda dos mantedores.. inclusive você..

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.