Regras NAT/Firewall para Proxy's Virtuais
-
Caros,
obtive uma sugestão do amigo marcelloc (http://forum.pfsense.org/index.php/topic,53657.msg287262.html#msg287262), em criar proxy's virtuais para cada rede que eu possuo (VLAN's).
Admirei a idéia, pois desta forma consigo ter um controle melhor por departamentos, pois onde trabalho trata-se de um colégio (lê-se alunos).
A modo transparente do proxy não é necessário, até crio os .pac para as redes (a propósito, como faço isto no pfSense?) ou manualmente mesmo.Para não fugir muito do assunto, minha dúvida é sobre como criar as regras para apontar estes proxy's virtuais para as redes; se vai ser via Floating, se vou poder ainda continuar com o Failover configurado, se as configurações vão ser dos dois lados (pfSense real e virtual)…
Até cheguei a configurar o proxy sem ser transparente, mas como ele está em uma das VLAN's (não tenho rede na LAN), acabei saindo pelo gateway desta rede, ao invés do gateway da rede a qual eu estou.Desculpem me algum inconveniente.
Abraços, obrigado! -
Coloque cada proy na sua respectiva vlan. Desta forma ele vai usar a regra de balanceamento já definia.
Se quiser usar um pool de proxy para isso com a ajuda do pac, crie as regras de balanceamento da vlan de proxies baseada no ip de cada um.
-
Marcelo,
obrigado novamente. Farei desta forma e darei um retorno.
Obrigado mais uma vez! -
Caros,
montei um servidor proxy (Squid) virtual, mas não usando o pfSense e está pronto e funcional.
A idéia é que o pfSense distribua o wpad.dat para os clients da rede, porém não está acontecendo. Configurei o DNS Forwarder, DHCP (number, type e value) em cada interface, detecção automática no browser e alterei a extensão .pac para .dat (/etc/inc/system.inc).Consigo acessar e fazer o download do arquivo, via http://IP/wpad.dat (então, regra de firewall ok?). O que achei estranho, é que quando coloco HTTP no browser, ele muda para HTTPS. Acredito que isto aconteça pois é a forma em que eu acesso o pfSense. Mas isto implica na configuração automática do proxy?
Usei esta função, alterando para o meu IP
function FindProxyForURL(url,host)
{
return "PROXY 192.168.1.1:3128";
}e depois esta, adaptada para a minha rede:
**function FindProxyForURL(url, host) {
// URL(s) local(s) de meu.domínio não precisa(m) de proxy:
if (shExpMatch(url,".meu.domínio/")) {return "DIRECT";}
if (shExpMatch(url, ".meu.domínio:/*")) {return "DIRECT";}// laboratórios de informática
// 192.168.20.1 na porta 3128 (default Squid):
if (isInNet(MyIPAdress(), "192.168.20.0", "255.255.255.0")) {return "PROXY 192.168.20.1:3128";}// administrativo
// 192.168.0.1 na porta 3128 (default Squid):
if (isInNet(MyIPAdress(), "192.168.0.0", "255.255.255.0")) {return "PROXY 192.168.0.1:3128";}// pedagógico
// 192.194.21.1 na porta 3128 (default Squid):
if (isInNet(MyIPAdress(), "192.194.21.0", "255.255.255.0")) {return "PROXY 192.194.21.1:3128";}// sem proxy ou falha, acesso direto à internet:
return "DIRECT";
}**e,
Host: wpad
Domain: meu.domínio
IP Address: ip.do.pfSense.onde.está.o.wdap.dat
Description: WPAD Autoconfigure HostAlgo errado?
Obrigado! -
duas coisas:
Não sei se o browser consegu puxar o script em https(é preciso testar)
Ví em algum lugar que o windows7 não responde a função MyIPAdress(), o que dificulta na criação dos scripts. -
Bom,
agora vou trabahar encima destas duas informações que você me passou, postarei os resultados em seguida.
Então este segundo script está certo, embora o Win7 não o possa ler?Obrigado!
-
Então este segundo script está certo, embora o Win7 não o possa ler?
Ele le, só não interpreta/reponde a solicitação de ip em uso.
-
marcelloc,
acabei usando uma outra solução Linux para gerenciar o proxy, em uma das minhas redes, que está funciando conforme nossas necessidades.
Ainda não subi esta solução para produção, faltam alguns poucos detalhes.O que fazemos com o tópico, para não deixá-lo aberto e para quem futuramente não se perder, quando pesquisar o assunto?
Obrigado, abraços!
pfSense rules!