Regra Firewall
-
Boa noite todos,
Sou novo no pfsense e estou gostando bastante. Preciso que meus usuários consigam fazer a atualização de tabels do programa sped fiscal, por exemplo.. para isso libero determinados ips no squid, porém existe uma regrar que precisa ser feita e que não estou encontrando como fazer no pfsense
iptables -t nat -I PREROUTING -d "ipdestino" -j ACCEPT
pelo que vi o pfsense não usa o iptables, mas enfim, alguem sabe dizer como fazer essa regra ou se há outro jeito para fazer esse e outros programas que não aceitam configuração de proxy funcionarem?
Grato desde já.
-
Sidnei, bem vindo ao fórum. :)
Sugiro uma boa lida noa tutoriais antes de continuar sua configuração. O que voce quer faze é o mais básico de um firewall. Vá em firewall -> rules e crie sua regra de saída na interface de rede onde o trafego inicia(provavelmente LAN).
-
Olá Marcelo,
Na verdade eu já fiz essa regra, agora a fim de testes está liberado tudo, sem nenhum tipo de bloqueio. O que pode ser que esteja acontecendo também é que ele não esteja conseguindo acessar diretamente o site (pois o squid pede autenticação). Já coloquei os endereços na whitelist do squid, ele acessa normalmente sem usuário e senha pelo navegador. Alguém consegue dar uma ajuda para fazer isso funcionar!?
-
Complementando, meu squid está configurado para autenticação de usuários. E criei uma regra que redireciona todo o tráfego da porta 80 e 443 para a 3128. Se eu desabilito a regra que redireciona o tráfego da 80 para a 3128 funciona. Teria como fazer com que todo o tráfego seja redirecionado exceto os IPS que eu quiser? No caso eu colocaria os IPS utilizados por esse programa para passarem direto pela porta 80..
-
Não precisa criar regras(nat) de redirecionamento, o pacote já tem isso(proxy transparente).
Fazer proxy transparente de SSL, só interceptando a conexão. O squid3-dev já tem isso. Leia o tópico para ver o procedimento de instalação.
-
Certo, mas e no caso de um proxy não transparente, como procedo? Vi alguns casos que editava-se o arquivo squid.inc
switch($type) {
case 'nat':
$rules .= "\n# Setup Squid proxy redirect\n";
if ($squid_conf['private_subnet_proxy_off'] == 'on') {
foreach ($ifaces as $iface) {
$rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, dontProxyDST} port 80\n";criei um alias chamado dontProxyDST com os endereços IP que o programa usa porém não obtive sucesso também..
-
criei um alias chamado dontProxyDST com os endereços IP que o programa usa porém não obtive sucesso também..
O próprio pacote já tem um campo de bypass para proxy transparente onde ele mesmo cria a regra.
-
Proxy transparante não se encaixa para mim. Tem como fazer no proxy não transparente?
-
Proxy transparante não se encaixa para mim. Tem como fazer no proxy não transparente?
se o proxy é não transparente, pra que o nat? ???
você esta ouvindo o squid só na 127.0.0.1 e quer subir a porta em um ip virtual?
-
o nat que você se refere é sobre a regra do iptables que postei? Acho que aquilo pode ser esquecido, no caso é só criar uma regra em firewall >> rules, liberando o tráfego para o ip de destino. O squid está ouvindo na interface LAN. Lembrando que todo tráfego está sendo redirecionado para a porta 3128, a fim de que os usuários não consigam navegar sem o proxy configurado no seu navegador. O que necessito é um proxy autenticado e que alguns ips de destino passem direto pela porta 80.
-
Lembrando que todo tráfego está sendo redirecionado para a porta 3128, a fim de que os usuários não consigam navegar sem o proxy configurado no seu navegador.
Proxy transparente.
O que necessito é um proxy autenticado e que alguns ips de destino passem direto pela porta 80.
Procure por configuração automatica de proxy (PAC/WPAD)
Você não vai conseguir dizer para o squid não receber o pacote que você configurou para enviar para ele.
-
Ok, irei procurar sobre isso, qualquer coisa posto aqui. Obrigado Marcelo!
-
Marcelo, gostaria de usar o squid3 e o squidguard, e o squidguard instala o squid 2.7 junto, como procedo para evitar quaisquer conflitos?
-
Marcelo, gostaria de usar o squid3 e o squidguard, e o squidguard instala o squid 2.7 junto, como procedo para evitar quaisquer conflitos?
Reinstalar o squid3 novamente depois do squidguard.
-
Instalei o squid3-dev , instalei o squidguard, reinstalei o squid3-dev, porém os serviços não iniciam
EDIT: Ao iniciar o squid pelo comando, dava o erro (Shared object "libgssapi.so.10" not found, required by "squid"'), ai copiei as bibliotecas e iniciou normalmente. Porém o squidguard não inicia, tens alguma outra ideia, como faço para iniciar o squidguard por comando para ver se resulta algum erro?
-
Porém o squidguard não inicia,
O squidguard é chamado sob demanda a partir da versão 3 do squid. Se não tiver trafego, não tem squidguard, se tiver trafego, o squid executa ele…
