Implantação com 3 níveis de acesso
-
Olá camarads.
Antes de mais nada, gostaria de agradecer a oportunidade de participar do fórum e poder absorver o conhecimento que os membros aqui compartilham.
Estou iniciando meu trabalho com o pfsense e estou com uma certa dificuldade em progredir na implantação somente acompanhando alguns vídeos no youtube,
fico grato desde já a quem puder me ajudar.Tenho o seguinte cenário: Preciso implantar o pfsense na empresa em que trabalho principalmente para filtrar o acesso a internet. Preciso criar 3 níveis de permissão.
São eles: Diretoria - com acesso ilimitado à internet, um segundo nível para um pequeno grupo de usuários que terão acesso à todo conteúdo exceto redes sociais,
e por fim um acesso limitado somente a sites de interesse do trabalho, bloqueando tudo e liberando somente exceções.Tenho em mãos nesse momento um workgroup com 120 estações de trabalho, a maioria com Windows 7 pro 32 bits, alguns poucos com 64 bits, e poucos rodando windows xp SP3
os quais serão substituídos por máquinas com Windows 7 em breve.
Consigo criar no pfsense esses 3 níveis de acesso? Se alguém puder me dar uma ideia de como caminhar nessa implantação fico muito grato.Obrigado.
-
Acho que melhor é com Squid + SquidGuard.
Criar os grupos do SquidGuard e separar por range de IP cada grupo.
Tem bastante coisa sobre isso no forum, -
Olá.
Para bloquear as redes sociais, vai ter que usar o Firewall. Todas usam o protocolo https, então o proxy normal não vai filtrar as urls das redes sociais.
Pode criar um alias no firewall com os ips da diretoria e outro alias com os ips das redes sociais, depois você dá um reject em toda a rede interna, EXCETO, os ips da diretoria, com destino aos ips das redes sociais. Isso fará você bloquear as redes sociais pra todos, menos a diretoria.
O resto você faz no squidguard. Também criando 3 grupos e ajustando a ACL padrão pra deny. Aí, quando um ip for navegar, ele vai buscar a política de acesso dele dentro de um dos 3 grupos de ACL.
Semana passada postei a minha atualização de ips do facebook, no post: https://forum.pfsense.org/index.php?topic=51815.0
-
Olá.
Para bloquear as redes sociais, vai ter que usar o Firewall. Todas usam o protocolo https, então o proxy normal não vai filtrar as urls das redes sociais.
Pode criar um alias no firewall com os ips da diretoria e outro alias com os ips das redes sociais, depois você dá um reject em toda a rede interna, EXCETO, os ips da diretoria, com destino aos ips das redes sociais. Isso fará você bloquear as redes sociais pra todos, menos a diretoria.
O resto você faz no squidguard. Também criando 3 grupos e ajustando a ACL padrão pra deny. Aí, quando um ip for navegar, ele vai buscar a política de acesso dele dentro de um dos 3 grupos de ACL.
Semana passada postei a minha atualização de ips do facebook, no post: https://forum.pfsense.org/index.php?topic=51815.0
tem certeza disso? eu uso squid3 + squidguard3 e bloqueia de boa as redes sociais (https).. a unica coisa que nao aparece é a tela de bloqueio… nao tenho nenhuma regra de firewall fazendo essa funcao..
-
tem certeza disso? eu uso squid3 + squidguard3 e bloqueia de boa as redes sociais (https).. a unica coisa que nao aparece é a tela de bloqueio… nao tenho nenhuma regra de firewall fazendo essa funcao..
Mas aí vc usa o recurso que o marcelo implantou no squid3 com instalação de certificado do pfsense nos pcs lucas?
-
nao.. uso o squid3, esse recurso de interceptacao so tem no squid3-dev..
-
Squid3-dev
-
Aqui uso sem SSL e faço uma regra no Squidguard e bloqueia tranquilo sem regra de firewall do mesmo jeito que o Lucas falou.
Claro que a pagina de bloqueio é a do Squidguard, mas ela pode ser personalizada. -
Olá!
Senhores, estão esquecendo que existe diferença de operação entre proxy transparente e não transparente.
No modo transparente, apenas a porta HTTP é interceptada, o Squid3-DEV intercepta HTTPS através da implantação do colega Marcelloc.
Proxy não transparente intercepta HTTP e HTTPS, no caso de HTTPS ele não acessa o conteúdo, mas aplica as ACLs baseado no domínio e/ou IP do site acessado.
CAL ROCKER,
É perfeitamente possível implantar nesse cenário. Para a parte de filtros você pode utilizar o SquidGuard ou o DansGuardian(*).
Nesse cenário, recomendo utilizar apenas pacotes estáveis, ou seja, marcados como "Stable". O Squid3 e Squid3-DEV embora bem preparados ainda não considerados estáveis e podem causar problemas em certos cenários. Se você preferir por essas versões, faça testes antes de colocar o PFSense em produção. -
Proxy não transparente intercepta HTTP e HTTPS, no caso de HTTPS ele não acessa o conteúdo, mas aplica as ACLs baseado no domínio e/ou IP do site acessado.
Só para não confundir os conceitos, o proxy em modo não transparente não intercepta, ele só faz o tunel se o dominio/ip estiver liberado. Neste caso no log só vemos um CONNECT no lugar da url do site.
Se habilitado a interceptação de ssl, é possível ver no log as urls dos sites https.
att,
Marcello Coutinho -
Bom dia, amigos.
Obrigado pelas dicas e esclarecimentos, estou tentando prosseguir aqui com a simulação dessa implantação antes de colocá-la em prática. Porém, estou testando em um cenário diferente da empresa, como ainda estou de férias só vou mexer na infra da rede na próxima semana. Comecei a simular um ambiente no VMware Workstation, mas tenho tido problemas com o net virtua. O equipamento da net, modem/roteador usa o ip 192.168.1.1 e atribui dinamicamente o ip 192.168.1.11 para a minha máquina. Quando eu instalo o pfsense no VMware que está com duas placas de rede em modo Bridge a conexão de internet trava totalmente, creio que o ip default do pfsende deve estar conflitando com o do roteador da NET. Quando eu mudo o ip do roteador também não navega, e se eu mudo o ip do pfsense também continua sem conexão à internet. Sinceramente, estou um tanto perdido. rs
Na empresa o cenário será diferente, somente a máquina física rodando o pfsense e utilizando somente o modem do vivo fibra. Lá eu já consegui bloquear todo o conteúdo direcionando o tráfego para a porta 3128 do squid, só não consegui aplicar exceções. Só não mexi com squidguard e squid 3 e não criei regras de firewall nem nada disso ainda, estou tentando. Se alguém tiver mais algumas dicas agradeço desde já.
Obrigado!!!
Modify message
