Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Proxy transparente ou configuração automatica de proxy?

    Scheduled Pinned Locked Moved Portuguese
    34 Posts 8 Posters 42.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      thiagomespb
      last edited by

      @thiagomespb:

      Marcelo,

      Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
      terei que digitar usuário e senha  no browser ?? o processo não é automático ??
      para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?

      foi isso que eu entendi ??

      Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
      se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..

      Resumindo.. se ganha em pontos e perdem em outros..

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        @thiagomespb:

        Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
        se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..

        Resumindo.. se ganha em pontos e perdem em outros..

        Você foi seletivo na leitura deste post  :D

        O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • JackLJ
          JackL
          last edited by

          @marcelloc:

          Você foi seletivo na leitura deste post  :D
          O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.

          Exatamente…

          Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!

          O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)

          Abraços!
          Jack

          Treinamentos de Elite: http://sys-squad.com
          Soluções: https://conexti.com.br

          1 Reply Last reply Reply Quote 0
          • G
            gst.freitas
            last edited by

            Rapaz,

            Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic, 
            quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.

            Porém o marcelo falou o seguinte.

            Resumindo a história.

            Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.

            Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.

            Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.

            Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

            Ai junto com outro colega do forum deu um nó na cabeça..

            Poderia explicar com mais detalhe..  a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.

              A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • T
                thiagomespb
                last edited by

                Então marcelo,

                Resumão..

                Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
                navegador..??

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

                  Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • T
                    thiagomespb
                    last edited by

                    Marcelo,

                    Traduzindo a sua frase em bom português.

                    o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação.   >:(

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @thiagomespb:

                      Marcelo,

                      Traduzindo a sua frase em bom português.

                      o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação.  >:(

                      Traduzindo para o bom português, o pfsense é firewall e por ser um firewall não deveria ter (ou merecer) um protocolo como netbios rodando nele.

                      Como qualquer servidor unix, você pode instalar o pacote que quiser, mas estamos falando de segurança antes de falar de funcionalidade.

                      O dansguardian implementa outros protocolos de autenticação como por exemplo ident, mas a resposta do ident pode ser forjada facilmente.

                      Por ser um firewall preparado para rodar desde um hardware embarcado até um servidor multicore com vários Gb de ram, a instalação padrão vem enxuta para evitar desperdício de recursos e excesso de serviços habilitados.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • G
                        gst.freitas
                        last edited by

                        Marcelo,

                        Vou discordar.. grande parte das UTM existentes no Mercado tem essa integração, posso citar alguns: Livres, Zentyal, Endian, pagos: BRMA, mcafee e o próprio fortigate sem ter que usar um squid fora do applicance..

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Se você olhar o proxy que roda em um utm grátis, você vai encontrar o squid e o dansguardian. Eu até recomendo isso para você ver a quantidade de pacotes e serviços que vão embarcados em utm como o endian por exemplo.

                          EDIT
                          Leia uma parte da documentação do endian para você ver tudo o que conversamos neste tópico.
                          http://docs.endian.com/proxy.html

                          UTMs pagos, não usam software gratuito e portanto tem seu próprio método de autenticação. Especificamente o fortigate comunica via ad(usando ldap) para saber que usuário esta usando determinado ip.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            gst.freitas
                            last edited by

                            Marcelo,

                            É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
                            ele já vem nativo, vide anexo.

                            E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.

                            NTLM.jpg
                            NTLM.jpg_thumb

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @gst.freitas:

                              Marcelo,

                              É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
                              ele já vem nativo, vide anexo.

                              O problema é basicamente segurança. Mas é claro que cada sysadmin tem sua opinião.

                              Este tópico mostra com instalar o samba no pfsense
                              http://forum.pfsense.org/index.php/topic,45828.0.html

                              @gst.freitas:

                              E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.

                              O dansguarian não é gratuito. Isso pode não significar nada para muitos sysadmins brasilieiros, mas entre um software gratuito como o squidguard e um pago, o pessoal do pfsense optou pela solução gratuita.

                              A beleza de um projeto open source é exatamente esta. Eu precisei que o pfsense fizesse um algo a mais e consegui. Assim como vários outros que contribuiram para o pfsense ser o firewall que é hoje.
                              O fato de não ter uma interface gráfica não quer dizer que não roda.

                              Eu uso, aprovo, gosto, indico, ajudo e contribuo com o pfsense. Até hoje pra mim é o firewall mais completo e personalizável que já trabalhei.

                              Em breve, antes que levantem a bola por aqui, devo publicar um pacote para gerência e replicação de configurações/regras/alias/etc entre vários pfsenses.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • T
                                thiagomespb
                                last edited by

                                Marcelo,

                                Eu já testei vários e todos tem prós e contras.. até agora pfsense o melhor de todos..
                                a faço questão em colocar ele em meus clientes. só ele pode ficar melhor com ajuda dos mantedores.. inclusive você..

                                1 Reply Last reply Reply Quote 0
                                • B
                                  babingthon
                                  last edited by

                                  @thiagomespb:

                                  amigo,

                                  Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.

                                  thiago..

                                  Seguinte thiago, eu fiz aqui as configurações (IIS, DNS e DHCP) no meu servidor 2008 de proxy automatico,

                                  mas antes disso, liguei a minha VM pra ve se tava navegando e estava. ai configurei o IE e firefox pra pegar

                                  configurações automaticas de rede e depois desliguei a VM, concluir a configuração na 2008 e voltei a ligar a

                                  VM e não navegou, so isso!!! pra ter certeza, tirei as configurações do 2008 e reiniciei a VM e navegou normal!!!

                                  vlw…  ;D  :)

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    Amandio
                                    last edited by

                                    Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
                                    Abraço  8)

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      thiagomespb
                                      last edited by

                                      @Amandio:

                                      Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
                                      Abraço  8)

                                      Não é possível, tanto squidguard ou dansguardian usa o squid. Estranho esse seu desejo, pq vai de encontro com a grande maioria do sysadmins. Se não deseja fazer cache em algum site, deve informar quais são..

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        Você pode configurar o squid para não fazer cache.

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.