• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Regras NAT/Firewall para Proxy's Virtuais

Scheduled Pinned Locked Moved Portuguese
8 Posts 2 Posters 2.2k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • D
    darkknight
    last edited by Sep 28, 2012, 3:52 PM

    Caros,

    obtive uma sugestão do amigo marcelloc (http://forum.pfsense.org/index.php/topic,53657.msg287262.html#msg287262), em criar proxy's virtuais para cada rede que eu possuo (VLAN's).
    Admirei a idéia, pois desta forma consigo ter um controle melhor por departamentos, pois onde trabalho trata-se de um colégio (lê-se alunos).
    A modo transparente do proxy não é necessário, até crio os .pac para as redes (a propósito, como faço isto no pfSense?) ou manualmente mesmo.

    Para não fugir muito do assunto, minha dúvida é sobre como criar as regras para apontar estes proxy's virtuais para as redes; se vai ser via Floating, se vou poder ainda continuar com o Failover configurado, se as configurações vão ser dos dois lados (pfSense real e virtual)…
    Até cheguei a configurar o proxy sem ser transparente, mas como ele está em uma das VLAN's (não tenho rede na LAN), acabei saindo pelo gateway desta rede, ao invés do gateway da rede a qual eu estou.

    Desculpem me algum inconveniente.
    Abraços, obrigado!

    1 Reply Last reply Reply Quote 0
    • M
      marcelloc
      last edited by Oct 1, 2012, 2:53 PM Oct 1, 2012, 1:53 AM

      Coloque cada proy na sua respectiva vlan. Desta forma ele vai usar a regra de balanceamento já definia.

      Se quiser usar um pool de proxy para isso com a ajuda do pac, crie as regras de balanceamento da vlan de proxies baseada no ip de cada um.

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • D
        darkknight
        last edited by Oct 1, 2012, 2:51 PM

        Marcelo,

        obrigado novamente. Farei desta forma e darei um retorno.
        Obrigado mais uma vez!

        1 Reply Last reply Reply Quote 0
        • D
          darkknight
          last edited by Oct 9, 2012, 1:11 PM

          Caros,

          montei um servidor proxy (Squid) virtual, mas não usando o pfSense e está pronto e funcional.
          A idéia é que o pfSense distribua o wpad.dat para os clients da rede, porém não está acontecendo. Configurei o DNS Forwarder, DHCP (number, type e value) em cada interface, detecção automática no browser e alterei a extensão .pac para .dat (/etc/inc/system.inc).

          Consigo acessar e fazer o download do arquivo, via http://IP/wpad.dat (então, regra de firewall ok?). O que achei estranho, é que quando coloco HTTP no browser, ele muda para HTTPS. Acredito que isto aconteça pois é a forma em que eu acesso o pfSense. Mas isto implica na configuração automática do proxy?

          Usei esta função, alterando para o meu IP

          function FindProxyForURL(url,host)
          {
          return "PROXY 192.168.1.1:3128";
          }

          e depois esta, adaptada para a minha rede:

          **function FindProxyForURL(url, host) {
          // URL(s) local(s) de meu.domínio não precisa(m) de proxy:
          if (shExpMatch(url,".meu.domínio/")) {return "DIRECT";}
          if (shExpMatch(url, ".meu.domínio:/*")) {return "DIRECT";}

          // laboratórios de informática
          // 192.168.20.1 na porta 3128 (default Squid):
          if (isInNet(MyIPAdress(), "192.168.20.0", "255.255.255.0")) {return "PROXY 192.168.20.1:3128";}

          // administrativo
          // 192.168.0.1 na porta 3128 (default Squid):
          if (isInNet(MyIPAdress(), "192.168.0.0", "255.255.255.0")) {return "PROXY 192.168.0.1:3128";}

          // pedagógico
          // 192.194.21.1 na porta 3128 (default Squid):
          if (isInNet(MyIPAdress(), "192.194.21.0", "255.255.255.0")) {return "PROXY 192.194.21.1:3128";}

          // sem proxy ou falha, acesso direto à internet:
          return "DIRECT";
          }**

          e,

          Host: wpad
          Domain: meu.domínio
          IP Address: ip.do.pfSense.onde.está.o.wdap.dat
          Description: WPAD Autoconfigure Host

          Algo errado?
          Obrigado!

          1 Reply Last reply Reply Quote 0
          • M
            marcelloc
            last edited by Oct 9, 2012, 1:23 PM

            duas coisas:

            Não sei se o browser consegu puxar o script em https(é preciso testar)
            Ví em algum lugar que o windows7 não responde a função MyIPAdress(), o que dificulta na criação dos scripts.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • D
              darkknight
              last edited by Oct 9, 2012, 1:41 PM

              Bom,

              agora vou trabahar encima destas duas informações que você me passou, postarei os resultados em seguida.
              Então este segundo script está certo, embora o Win7 não o possa ler?

              Obrigado!

              1 Reply Last reply Reply Quote 0
              • M
                marcelloc
                last edited by Oct 9, 2012, 2:22 PM

                @darkknight:

                Então este segundo script está certo, embora o Win7 não o possa ler?

                Ele le, só não interpreta/reponde a solicitação de ip em uso.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • D
                  darkknight
                  last edited by Oct 17, 2012, 6:39 PM

                  marcelloc,

                  acabei usando uma outra solução Linux para gerenciar o proxy, em uma das minhas redes, que está funciando conforme nossas necessidades.
                  Ainda não subi esta solução para produção, faltam alguns poucos detalhes.

                  O que fazemos com o tópico, para não deixá-lo aberto e para quem futuramente não se perder, quando pesquisar o assunto?

                  Obrigado, abraços!

                  pfSense rules!

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                    This community forum collects and processes your personal information.
                    consent.not_received