Gostaria de ter meu pfSense em Modo restritivo (bloqueio total)
-
Uma duvida marcelloc,
eu vi que tem um pacote Squid3 que diz que filtra HTTPS, como funcionaria?
Eu tenho que ter o squid e squid3 instalados juntos ou só funciona se tiver apenas um deles?
Ou de nenhum jeito funciona? rs
-
eu vi que tem um pacote Squid3 que diz que filtra HTTPS, como funcionaria?
Para filtrar acesso ssl no squid, basta marcar o proxy no browser do cliente(de forma manual ou usando WPAD/PAC).
A função de ssl também existe para o proxy reverso(quando você publica um ou mais sites em uma ou mais máquinas na sua rede interna e coloca o squid3 para fazer a segurança/distribuição das requisições usando pelo menos um ip público).
Para usá-lo, você precisa desinstalar o squid2.
Só lembrando que o squid3, principalmente nas funções de proxy reverso, está em versão beta.
Ainda tenho que testar o ssl com vários certificados e transferir as configurações específicas do owa da aba geral para a aba dos servidores internos.att,
Marcello Coutinho -
Desculpe a ignorancia,
Tenho um proxy transparente. Como faria para deixalo sem ser transparente? Já estou com muitos problemas com pessoas usando HTTPS para burlar os acessos e como hoje em dia quase todos os sites tem HTTPS fica dificil segurar o pessoal.
Pelo que imagino provavelmente deveria bloquear no firewall as portas:
TCP 80
TCP 443Criar um NAT Port Forward:
(imagem em anexo)O que mais eu deveria fazer? Ativar a opcao de Proxy no navegador? (imagem em anexo)
Ali devo colocar a direcao de meu proxy ou o que?Exemplo:
Check - Usar um servidor proxy para a LAN
Direcao: 192.168.4.1 (IP de meu proxy)
Porta: 80Assim deveria ser??
-
-
Desabilite os nats
-
crie as regras na wan bloqueando 80,443(prefiro bloquear tudo e liberar o que precisa, usando aliases e regras)
-
Configure o browser do cliente com o ip da lan do pfsense e a porta do squid(na mesma tela que você postou)
-
-
Ficaria assim entao?
-
Excluir os NAT Forward
-
Criar Firewall Rules WAN:
(imagem em anexo) -
Desativar a opcao Transparent Proxy em Proxy Server
(imagem em anexo) -
Ativar Proxy no navegador:
(imagem em anexo)
Direcao: 192.168.4.1 (Proxy IP)
Porta: 3128 (Squid Port)
??
Valeu!
-
-
A regra fica na lan e não na wan.
Sempre crie regras na interface onde a comunicação começa.
-
Olá marcelloc,
Fiz o que foi recomendado, mas antes de provar fiz as regras somente para meu computador na rede.
Funcionou, ele estava sem internet. Marquei o proxy no Navegador e funcionou.
O problema é que me aparece sempre a mensagem sem conexao (ver imagem), mesmo podendo navegar e tudo mais.
tem como resolver esse problema?
valeu!
-
tem como resolver esse problema?
Veja via tcpdump o que o windows tenta acessar para dizer se tem internet disponível ou não.
Talvez seja apenas consultas dns ou um icmp qualquer.
att,
Marcello Coutinho -
Depois que eu fiz essas mudancas, meu proxy esta se comportando de maneira estranha…
esta me bloqueando até para acessar o Common ACL, Groups ACL, etc... quando tento acessar isso me sai a mensagem de erro do SquidGuard.
Alguma ideia do que pode ter acontecido?
pensei que poderia ter sido meu IP que estava bloqueado, mas mesmo mudando meu IP ou tentando de outro PC, ele sai o mesmo erro.
PS: mesmo mudando meu IP de 192.168.4.61 para 192.168.4.62 ele ainda sai a mensagem de Client 192.168.4.61 no erro do SquidGuard! Já reiniciei o Proxy e nada
-
Também quando tento entrar na interface LAN de meu proxy sai a mensagem "Request denied by pfSense proxy: 403 Forbidden"
Só consigo acessar as minhas WANs.
Eu consigo acessar o proxy em todas opcoes desde a WAN, já verifiquei se é alguma configuracao e nao identifiquei ainda …
alguma dica? (antes de restaurar o backup?)
-
provavelmente foi um bug no pfsense.
restaurei o backup e pronto.
valeu
