Liberar Host externos

anderxis

Olá pessoal

Consegui implementar o PFSENSE no meu ambiente, só que estou com dificuldade para liberar acesso de servidores no Firewall via porta 3128, criei uma regra de acesso para 3128 no firewall e depois coloquei o IP do servidor de destino que é 54.207.31.76 (fornece acesso ao programa para os advogados). porém pelo proxy não vai, então liberei pelo firewall(está com a regra de acesso full liberada) direto, sem o proxy ele funciona.
Eu configurei com o proxy autenticado de forma automática, conforme Tópico https://forum.pfsense.org/index.php/topic,66674.msg364055.html#msg364055

lucaspolli

@anderxis:

Olá pessoal

Consegui implementar o PFSENSE no meu ambiente, só que estou com dificuldade para liberar acesso de servidores no Firewall via porta 3128, criei uma regra de acesso para 3128 no firewall e depois coloquei o IP do servidor de destino que é 54.207.31.76 (fornece acesso ao programa para os advogados). porém pelo proxy não vai, então liberei pelo firewall(está com a regra de acesso full liberada) direto, sem o proxy ele funciona.
Eu configurei com o proxy autenticado de forma automática, conforme Tópico https://forum.pfsense.org/index.php/topic,66674.msg364055.html#msg364055

ficou um pouco confusa sua pergunta mais vamos la, vc precisa que seu servidor tenha acesso ao ip 54.207.31.76 sem passar pelo proxy, é isso?

se for, crie uma regra de firewall com (protocolo xxxx) origem (ip do seu server), porta (xxx), para destino (54.207.31.76), porta (xxx)

anderxis

Lucas muito obrigado pela resposta, vou testar. Porém fiz algo que deu certo, na configuração de browser em conexão de rede, onde coloquei o proxy manualmente , configurei a endereço 54.207.31.76 para não passar pelo proxy e funcionou.
Agora, tem como fazer isso pelo Acesso control? , porque depois que fiz funcionar o pfsense com AD de forma transparente, tudo que coloco no acess control não é defino, por exemplo, na Unrestricted IPs (proxyserver) coloquei o endereço 54.207.31.76 , porém quando acesso via proxy no browser não vai, só da forma que eu fiz acima que funcionou.

uso o SQUID 2.7.9 pkg v.4.3.3; SQUIDGUARD 1.5_2 beta

lucaspolli

vc precisa criar uma acl no squidguard para fazer o "bypass" no proxy, crie um target categories, coloque como whitelist, na custon options crie a acl para o acesso sem autenticacao..

marcelloc

O proxy continua marcado na estação?

anderxis

O que vou escutar como fazer ACL, Lucas

Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?

desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.

lucaspolli

@anderxis:

O que vou escutar como fazer ACL, Lucas

Marcelo está marcado sim, e agora funciona
Seguindo aquele passo do tutorial na parte em que colocamos no custom options a configuração "acl_uses_indirect_client on;follow_x_forwarded_for …"
no tutorial falara para ficar assim"
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;acl java_vm browser regexp -i Java;acl java urlpath_regex -i .class$ .jar; http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

Porém lendo algumas coisas sobre acl o squid le de cima para baixo.
então a acl "acl_uses_indirect_client on;follow_x_forwarded_f..." deveria ser a ultima , não vir logo depois de "redirector_bypass off:url_rewrite_children 5" ?

desconsidere o Java , foi outra opção que vi no fórum para funcionar o java sem aquela autenticação chata... e deu certo.

vc precisa colocar a acl de bypass antes da integracao com o squidguard.. ou seja, no inicio das configuracoes no campo Integrations

anderxis

Lucas o bypass são essas linha embaixo? se não como faço isso ?

http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

lucaspolli

@anderxis:

Lucas o bypass são essas linha embaixo? se não como faço isso ?

http_access allow java;http_access allow java_app;http_access allow java_vm;redirect_program /usr/pbi/squidguard-devel-i386/bin/squidGuard -c /usr/pbi/squidguard-devel-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5;"

sim so que essas liberam a atualizacao do java, voce precisa criar uma para liberar a target categories que vc criou

ex:
vc criou um target categories "sem_autenticacao"
em Target Rules vc define como "whitelist"
e cria uma acl em integrations: acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao;

com isso os dominios ou ips que voce colocar na categoria "sem_autenticacao" irá passar pelo proxy sem pedir senha

anderxis

Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao

lucaspolli

@anderxis:

Assim, tudo junto no custom options ?
acl sem_autenticacao url_regex "/var/db/squidGuard/sem_autenticacao/domains";http_access allow sem_autenticacao

sim, tudo junto, so que nao é na custon options, é no campo Integrations, antes do comando de integracao com o squidguard, pode colocar no inicio da linha, so nao esquece do ; no fim de cada sentença…

anderxis

nossa eu achei que era no custom option, onde fica o integrations e via console?

lucaspolli

@anderxis:

nossa eu achei que era no custom option, onde fica o integrations e via console?

um campo acima do custon options…

Capturar.PNG_thumb

anderxis

Agora ficquei preocupado, não tem esse campo no meu squid2.7, noa cosegui mandar a imagem rsrsrsrs….
mas o campo anterior é o
"Suppress Squid Version"

anderxis

Vi em outra parte do fórum (pelo marcelo) que o squid 2 não tem integrations
:(

lucaspolli

@anderxis:

Vi em outra parte do fórum (pelo marcelo) que o squid 2 não tem integrations
:(

verdade, nao me dei conta da versao que vc estava usando.. sugiro nesse caso vc atualizar..

anderxis

Só para finalizarmos , para eu entender melhor funcionamento do squid no pfsense, funciona dessa forma ?
Primeiro, quando o proxy está habilitado, o pfsense verifica a tabela de regras, caso encontre, por exemplo, a primeira regra de redirecionamento (porta 3128) o trafego é enviado para squid que checa no Acess Control, as ACLS para aplicar as regras de IPS e Dominio (caso exista) e checar se existem portas liberadas no campo SSLPORTS e acl safeports, depois entra na regra do SQUIDGUARD para aplicar as ACL implementas nos grupos ACLS e Common ACLS, isso se tratando de SQUID com autenticação automática pelo Samba.
É isso ?

marcelloc

@anderxis:

Só para finalizarmos

Se o squid estiver em modo transparente, ele intercepta somente a porta 80 (na versão squid2)

no squid, você pode olhar o squid.conf gerado para entender a ordem das acls…

unrestricted hosts e whitelist não passam pela autenticacao
portas não cadastradas (em modo não transparente) dão erro de acesso negado no squid
acls de autenticação são executadas antes de enviar para o helper do squidguard