Exigir que maquina passe pelo SQUID…

brunoguidone

@Heltonlps:

Ola, boa noite

Tenho muitas duvidas sobre o squid, já sanei muitas delas por aqui, obrigado a todos que participam com respostas. Hoje minha duvida é a seguinte, o squid não ta barrando nada :(. Vou explicar o senário aqui, a net chega no pfsense (instalado em  somente o squid). LAN esta padrão 192.168.1.1, tenho um ap+router, ligo o cabo em umas das LAN´s dele, no router ligo um cabo que da para minha maquina (esta que estou teclando). Nela configuro manualmente IP fixo.

Agora os fatos, o pfsense esta configurado com o squid com proxy transparente, a maquina esta sem as configurações de proxy (configurado dentro de ferramentas em avançados, configurações de proxy). Estou conseguindo acessar a net sem problemas. Como faço para que com o proxy transparente exija que a maquina autentique nele? Preferencialmente com o proxy transparente.

Grato

Helton Luiz

Helton,
na configuração do Squid você selecionou a interface que está plugando o roteador/notebook?
Quais sites você está testando? São HTTP ou HTTPS ? (O squid só filtra na porta 80).
Chegou a olhar o Log ?
Se for possível postar as telas de configuração facilita na ajuda.

Abraço,
Bruno

marcelloc

@Heltonlps:

Como faço para que com o proxy transparente exija que a maquina autentique nele? Preferencialmente com o proxy transparente.

Autenticação e proxy transparente não funcionam juntos(exceto em alguns casos com ident)

Proxy transparente também não combina com filtro de urls ssl. Mesmo que sua configuração fique 100% o https tem que ser tratado via regra de firewall(liberando ou bloqueando.)

Você já habilitou o log do squid e deu uma olhada para ver se as requisições estão chegando nele?

Heltonlps

Ola bom dia,

A autenticação que disse se refere a: para ter acesso a web a maquina tem que colocar obrigatoriamente as configurações do proxy, não usuário e senha. O que esta acontecendo aqui é que mesmo sem as configurações locais do proxy (na estação) consigo acessar internet. (porta que coloquei como padrão proxy 8080)

Grato

Helton Luiz

brunoguidone

@Heltonlps:

Ola bom dia,

A autenticação que disse se refere a: para ter acesso a web a maquina tem que colocar obrigatoriamente as configurações do proxy, não usuário e senha. O que esta acontecendo aqui é que mesmo sem as configurações locais do proxy (na estação) consigo acessar internet. (porta que coloquei como padrão proxy 8080)

Grato

Helton Luiz

Helton,
o proxy transparente dispensa justamente essa configuração no navegador. Na sua rede você não pode desmarcar essa opção e aplicar por GPO o proxy nas máquinas?

abraço,
Bruno

marcelloc

@Heltonlps:

A autenticação que disse se refere a: para ter acesso a web a maquina tem que colocar obrigatoriamente as configurações do proxy

O WPAD/PAC existe exatamente para isso.

Aqui no forum mesmo você encontra informações de como configura-lo.

Heltonlps

Ola a todos,

Obrigado pela a ajuda de todos que escreveram neste post, consegui arrumar da forma que preciso com a ajuda da Jessysato (muito obrigado Jéssika).
Seguinte, para bloquear o acesso a web fazendo com que a estação só acesse quando colocar o proxy nas configurações é bem simples

1º cria um Gateway da Wan com o squid(proxy)
como?
system>>routing>>gateways>>+>>
interface: WAN
name: a escolha
marque: (X)Default Gateway
Monitor IP: IP_local_pfsense
salve

2º Crie uma regra
como?
Firewall>>rules>>lan>>+
tcp+lannet+marcar seu Gatewey
salve

3º desabilite (caso houver) a regra para acessar tudo

Segue imagens de como ficou cada passo.

Espero que ajude

Att

Helton Luiz


marcelloc

Heltonlps,

Esta configuração apesar de ter funcionado, não está 100%.

Você esta forçanda o trafego para um gateway que é o mesmo do default e usando o ip do pfsense local(ou squid) como teste para saber se o link está up ou down???
Isso não faz muito sentido pra mim.

Normalmente tudo o que você precisa é criar uma regra na lan bloqueando acesso a internet no lugar de liberar para um gateway inválido por exemplo.

att,
Marcello Coutinho

johnnybe

@marcelloc:

Normalmente tudo o que você precisa é criar uma regra na lan bloqueando acesso a internet no lugar de liberar para um gateway inválido por exemplo.

Pois é, eu já havia indicado isto aqui…
http://forum.pfsense.org/index.php/topic,48873.msg258697.html#msg258697

…mas adotaram outro procedimento.

Heltonlps

Ola bom dia,

Se tem a forma certa gostaria de aprende-la, como não sou expert em freebsd, gostaria de um passo a passo detalhado de como posso faze-lo. Que só tenha acesso que estiver com o proxy marcado.

Obrigado

marcelloc

Heltonlps,

A configuração do cliente está correta.

Você já configurou as firewall para permitir acesso ao proxy e impedir acesso direto a internet?

Olhe os tutoriais aqui do fórum, vários deles tem screenshots de regras.

Este por exemplo mostra como criar uma regra para bloquear redes específicas. Execute o passo2 mudando destination para any em uma regra para protocolo http e outra regra igual para o protocolo https.

http://nextsense.com.br/blog/archives/402

Heltonlps

""""Você já configurou as firewall para permitir acesso ao proxy e impedir acesso direto a internet?"""

isso que quero aprender detalhadamente

marcelloc

@Heltonlps:

""""Você já configurou as firewall para permitir acesso ao proxy e impedir acesso direto a internet?"""

isso que quero aprender detalhadamente

É melhor ler isto pra entender melhor como funciona o pfsense.

http://forum.pfsense.org/index.php/topic,45007.0.html

Heltonlps

ok