Liberar IP de Proxy e logar acessos

Andrepinhofig

Bom dia pessoal,
Estou com o seguinte cenário:
PfSense+Squid3+Dansguardian+autenticação no AD através do LDAP+Proxy marcado no navegador

Esta tudo funcionando normalmente, o problema é que quero que determinados IPs não necessitem de Proxy para acessar a internet mas que ao mesmo tempo os acessos aos sites sejam logados.

Liberando a porta 80 para o IP que eu quero no Firewall eu consigo que esse IP não utilize o Proxy, mas também os acessos não são logados.

Já tentei colocar direto no squid.inc as seguintes regras antes da regra que requer autenticação:
acl fwdpc req_header X-Forwarded-For 10.4.0.236
http_access allow fwdpc
acl liberados src 10.4.0.236
http_access allow liberados

Já tentei também redirecionar o trafego da porta 80 para a porta do Proxy como se fosse um Proxy transparente, mas o acesso a internet é negado informando que é preciso se autenticar.

Alguém sabe alguma forma de liberar determinados IPs da necessidade de utilizar o Proxy mas que ao mesmo tempo tenha os acessos aos sites logados?

marcelloc

Usar proxy, sem usar proxy? ::)

Voce pode tentar fazer um nat específico para estes ips, forçando o dansguardian uma vez que o squid precisa do transparente setado no arquivo de configuração.

Andrepinhofig

Eu não quero usar proxy para esses IPs… mas quero saber o que esta sendo acessado...  ;D
Já fiz o nat para o dansguardian mas não funcionou.

Andrepinhofig

Marcello,
uma coisa que percebi é que em Proxy/Authentication na opção "Subnets that don't need authentication" se eu coloco 10.4.0.0/24 eu consigo usar o proxy sem autenticar. Mas se eu coloco 10.4.0.131/32, que é o IP que estou testando, eu não consigo usar o proxy sem autenticar.

Sabe se falta mais alguma coisa para que somente um IP funcione em vez da rede toda?

marcelloc

@Andrepinhofig:

Sabe se falta mais alguma coisa para que somente um IP funcione em vez da rede toda?

Não, só debugando o squid mesmo.

Andrepinhofig

Marcello,
Consegui fazer depois de alguns testes.

Era necessário ativar  uma opção no Dansguardian. Na aba “general” do Dansguardian ativei a opção “forwardedfor(off)” em “Misc settings”.

Alem disso foi necessário fazer as seguintes alterações:
• Fazer um NAT(redirecionamento) da porta 80 para a porta do Dansguardian no IP que será liberado.
• Liberar a porta 80 e 443 no Firewall para o IP que será liberado.
• No Squid adicionar as seguintes linhas em “Custom Options”:
                  acl fwdpc req_header X-Forwarded-For 10.4.0.245
                  http_access allow fwdpc