Duvida Sobre Proxy Nao Transparente

vithort

Bom dia pessoal,

Eu usava proxy transparente, e agora quero usar um proxy que bloqueie o HTTP / HTTPS / etc

Já tinha feito antes para testes, mas como nao consegui fazer a autodeteccao do proxy, acabei desistindo. Agora que boa parte dos computadores estao em AD, fica mais facil, mas nao estou conseguindo configurar.

Provavelmente é alguma coisa bem facil que estou passando pela configuracao e nao consigo configurar corretamente.

Comecei do zero:

• Instalacao de pfSense

• Instalacao de pacotes:
    - Cron
    - Dashboard Widget: Antivirus Status
    - Dashboard Widget: HAVP
    - File Manager
    - Filer
    - HAVP antivirus
    - imspector-dev
    - Lightsquid
    - mailreport
    - Notes
    - ntop
    - Open-VM-Tools
    - RDD Summary
    - Sarg
    - squid
    - squidGuard

• Proxy Server
    - Ativei o Proxy Server na LAN
    - Configurei os Logs
      - Directory: /var/squid/logs
      - Log Rotate: 7
      - Proxy port: 3128
    - Configurei o Cache Management

• HAVP
    - Configurado e testado (funciona)

• Navegacao na Internet funciona perfeitamente

Meu problema deve ser na configuracao do Firewall e em algum outro lugar que ainda ano identifiquei, porque quando marco a opcao de Proxy no Browser ele nao funciona.

Como deveria ficar a restricao do Firewall para bloquear todo acesso a net e só sair pela porta do Proxy?

Acabo de me dar conta de uma coisa, eu nao criei o arquivo .pac, isso pode ser o problema tambem?

mantunespb

no browser vc colocou o ip do pfsense ??

kelsen

Falou e não falou nada; vc quer o proxy autenticado no ad?  via pac? se for tem tutorial na parte de tutorial deste forum.
Pra restringir o acesso via firewall vc cria um regra bloqueando todo tráfego na porta de destino 80 e 443 e claro,adiciona uma regra liberando destino lan address na porta 3128.

johnnybe

@kelsen:

Pra restringir o acesso via firewall vc cria um regra bloqueando todo tráfego na porta de destino 80 e 443…

Fica melhor ainda se você criar duas regras: uma bloqueando a porta 80 e outra a porta 443. Minha opinião.

marcelloc

@johnnybe:

Fica melhor ainda se você criar duas regras: uma bloqueando a porta 80 e outra a porta 443. Minha opinião.

A melhor da melhor na minha opinião é liberar o que conhece e bloqueia o resto  :)

johnnybe

@marcelloc:

@johnnybe:

Fica melhor ainda se você criar duas regras: uma bloqueando a porta 80 e outra a porta 443. Minha opinião.

A melhor da melhor na minha opinião é liberar o que conhece e bloqueia o resto  :)

Esse é outro ponto interresante e demonstra a variedade de filtros e bloqueios que são possíveis.

Mesmo usando Proxy transparente, você pode bloquear tudo. Depois, liberar somente aquilo que é solicitado. Com as devidas configurações das regras no firewall, até mesmo acessos à porta 443 podem ser bastante restritivos, ou totalmente bloqueados. Independente do SquidGuard, DansGuardian etc.
Dá um certo trabalho, mas funciona.

mantunespb

acho complicado para empresas acima de 100 usuários, prefiro deixar
para os filtros do squidguard ou dansguadian, uma boa blacklist se possível
paga resolve grande parte dos bloqueios.. alem de usar proxy não transparente.