Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Regras NAT/Firewall para Proxy's Virtuais

    Scheduled Pinned Locked Moved Portuguese
    8 Posts 2 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      darkknight
      last edited by

      Caros,

      obtive uma sugestão do amigo marcelloc (http://forum.pfsense.org/index.php/topic,53657.msg287262.html#msg287262), em criar proxy's virtuais para cada rede que eu possuo (VLAN's).
      Admirei a idéia, pois desta forma consigo ter um controle melhor por departamentos, pois onde trabalho trata-se de um colégio (lê-se alunos).
      A modo transparente do proxy não é necessário, até crio os .pac para as redes (a propósito, como faço isto no pfSense?) ou manualmente mesmo.

      Para não fugir muito do assunto, minha dúvida é sobre como criar as regras para apontar estes proxy's virtuais para as redes; se vai ser via Floating, se vou poder ainda continuar com o Failover configurado, se as configurações vão ser dos dois lados (pfSense real e virtual)…
      Até cheguei a configurar o proxy sem ser transparente, mas como ele está em uma das VLAN's (não tenho rede na LAN), acabei saindo pelo gateway desta rede, ao invés do gateway da rede a qual eu estou.

      Desculpem me algum inconveniente.
      Abraços, obrigado!

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Coloque cada proy na sua respectiva vlan. Desta forma ele vai usar a regra de balanceamento já definia.

        Se quiser usar um pool de proxy para isso com a ajuda do pac, crie as regras de balanceamento da vlan de proxies baseada no ip de cada um.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • D
          darkknight
          last edited by

          Marcelo,

          obrigado novamente. Farei desta forma e darei um retorno.
          Obrigado mais uma vez!

          1 Reply Last reply Reply Quote 0
          • D
            darkknight
            last edited by

            Caros,

            montei um servidor proxy (Squid) virtual, mas não usando o pfSense e está pronto e funcional.
            A idéia é que o pfSense distribua o wpad.dat para os clients da rede, porém não está acontecendo. Configurei o DNS Forwarder, DHCP (number, type e value) em cada interface, detecção automática no browser e alterei a extensão .pac para .dat (/etc/inc/system.inc).

            Consigo acessar e fazer o download do arquivo, via http://IP/wpad.dat (então, regra de firewall ok?). O que achei estranho, é que quando coloco HTTP no browser, ele muda para HTTPS. Acredito que isto aconteça pois é a forma em que eu acesso o pfSense. Mas isto implica na configuração automática do proxy?

            Usei esta função, alterando para o meu IP

            function FindProxyForURL(url,host)
            {
            return "PROXY 192.168.1.1:3128";
            }

            e depois esta, adaptada para a minha rede:

            **function FindProxyForURL(url, host) {
            // URL(s) local(s) de meu.domínio não precisa(m) de proxy:
            if (shExpMatch(url,".meu.domínio/")) {return "DIRECT";}
            if (shExpMatch(url, ".meu.domínio:/*")) {return "DIRECT";}

            // laboratórios de informática
            // 192.168.20.1 na porta 3128 (default Squid):
            if (isInNet(MyIPAdress(), "192.168.20.0", "255.255.255.0")) {return "PROXY 192.168.20.1:3128";}

            // administrativo
            // 192.168.0.1 na porta 3128 (default Squid):
            if (isInNet(MyIPAdress(), "192.168.0.0", "255.255.255.0")) {return "PROXY 192.168.0.1:3128";}

            // pedagógico
            // 192.194.21.1 na porta 3128 (default Squid):
            if (isInNet(MyIPAdress(), "192.194.21.0", "255.255.255.0")) {return "PROXY 192.194.21.1:3128";}

            // sem proxy ou falha, acesso direto à internet:
            return "DIRECT";
            }**

            e,

            Host: wpad
            Domain: meu.domínio
            IP Address: ip.do.pfSense.onde.está.o.wdap.dat
            Description: WPAD Autoconfigure Host

            Algo errado?
            Obrigado!

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              duas coisas:

              Não sei se o browser consegu puxar o script em https(é preciso testar)
              Ví em algum lugar que o windows7 não responde a função MyIPAdress(), o que dificulta na criação dos scripts.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • D
                darkknight
                last edited by

                Bom,

                agora vou trabahar encima destas duas informações que você me passou, postarei os resultados em seguida.
                Então este segundo script está certo, embora o Win7 não o possa ler?

                Obrigado!

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  @darkknight:

                  Então este segundo script está certo, embora o Win7 não o possa ler?

                  Ele le, só não interpreta/reponde a solicitação de ip em uso.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • D
                    darkknight
                    last edited by

                    marcelloc,

                    acabei usando uma outra solução Linux para gerenciar o proxy, em uma das minhas redes, que está funciando conforme nossas necessidades.
                    Ainda não subi esta solução para produção, faltam alguns poucos detalhes.

                    O que fazemos com o tópico, para não deixá-lo aberto e para quem futuramente não se perder, quando pesquisar o assunto?

                    Obrigado, abraços!

                    pfSense rules!

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.