Reglas con Proxy No Transparente
-
Podrías poner el Link al "tutorial" / "ejemplo" que seguiste ?
Si estás 100% seguro que las reglas son correctas, pues entonces te faltó algo en el proxy
-
En este link, en la red alumnos la regla 2 según dice es para bloquear la administración de pfsense –> http://www.bellera.cat/josep/pfsense/regles_cs.html.
Y este para las reglas de proxy no transparente y no brincarlo --> http://pheriko.blogspot.com.es/2012/03/pfsense-2-configurar-squid.html
Supongo que como dices, tendrá que ser algo del proxy, pero la verdad es que no doy con lo que es.
Gracias -
Pues, a ver que cometan los autores de los tutoriales…
Piensa que puedes implementar ciertas reglas, de manera diferente y obtener el mismo resultado ;)
Ejemplo, en el caso del "Bloqueo de Servidores DNS externos"
Puedes hacerlo con como lo muestra el compañero pheriko o como está en la imagen adjunta... y el resultado es el mismo...
Como en la red (producción) no utilizamos proxy, y el pfSense de "prueba" del que dispongo está con la versión "2.2 Alpha".. dejaré que los compañeros "sigan" con el hilo.
-
Lo he puesto tal y como me has dicho, pero sigue entrando al acceso de webconfigurator. Es muy raro, no?
-
¿Puede ser que el proxy (nat) sea el que me está redirigiendo al webconfigurator?
Por mucho que pruebo, las reglas de no acceso al webconfigurator se las saltas, es más, puedo acceder a cualquier subred. >:( -
Bueno informo al respecto por si es un error o simplemente es así. He realizado pruebas tanto con VLAN como con tarjetas físicas, teniendo configurada la primera regla como deny al webconfigurator de pfsense (primera imagen) y sin proxy , como es de esperar no podemos entrar en la configuración desde la interface. Con proxy (sea transparente o modo no transparente, segunda imagen), y el navegador con el proxy en el puerto correspondiente, la regla se la salta, pudiendo entrar en todas las IPs de configuración (cualquier red de pfsense). Tanto el proxy transparente como el no transparente, está configurado por defecto sin ninguna modificación destacable, nat automático y sin nada más.
Es decir por el puerto del proxy vuelve y se salta la regla, a no ser que configure acl para denegar en squid o squidGuard. Indudablemente no entra en el resto de las redes, pero en configuración SI.
¿Me estoy volviendo loco o esto es así?
 -
Debes denegar el acceso a pfSense en las reglas del proxy.
Es normal que sea así, pues entregas el control de la navegación al proxy.
-
Donde es mejor restringir desde squid o squidGuard al webconfigurator?
Y para las ips o bien sólo el puerto? -
Puedes probar activando la opción de squid:
Bypass proxy for Private Address destinationEsto hará que para cualquier IP privada NO se use el proxy, con lo que tus reglas tienen que hacer el efecto de bloquear el acceso al configurador web.
Por cierto, ¿no tendrás marcado loopback en Proxy interface(s)?
-
Esa opción solo está en modo transparente, así que puedo probarlo. Y efectivamente no tengo loopback en proxy interface. ¿algún sitio donde sea mejor configurar el bloqueo?
-
Esa opción solo está en modo transparente
Efectivamente está en la sección de proxy transparente pero no queda claro del todo si sólo es para modo transparente, pues NO tiene la coletilla
[Applies only to transparent mode]de las otras dos opciones que le siguen.
Si eso no sirve tendrás que impedir con las reglas de squidGuard que se pueda llegar al configurador web, prohibiendo por IP de destino y por nombre de equipo.
-
Si eso es lo que me temía, pero entonces el problema es que no puedo mostrar la página de error de squidGuard, ya que busca una ip de webconfigurator. ¿Alguna opción viable dentro de la misma máquina?
Es que además me deja entrar en la ip WAN que está dinámica, ¿esto quiere decir que al haber proxy las reglas del firewall se las salta? -
Pasa el configurador web a un puerto para ssl que no sea admitido por squid, Proxy server, ACLs, acl sslports
¡Ojo!
Antes de hacerlo asegúrate que las reglas en LAN te permitirán seguir accediendo al configurador web de pfSense con el nuevo puerto.
-
Me puedes dar algún ejemplo práctico o concreto? Lo puse en el 10000 (no se sí lo soporta o no) y no devolvía las páginas. Pero sinceramente lo que más me preocupa es que squid se esté saltando las reglas y pueda acceder a la ip wan por ejemplo o cualquier ip de otra red, aunque estás también las controlo con los switches.
Espero luz maestro ;) -
Como puedo des habilitar el tráfico de vuelta a las ips de configuración. Necesito un cable por que tengo que sacarlo a producción en breve.
-
Nadie ha probado (incluso en proxy transparente) en configurar el navegador con proxy y que llega a la ip de configuración?
-
Saludos mi estimado, no entiendo mucho que indicas trabajar un proxy transparente en una red teniendo pfsense como firewall enrutador es totalmente posible de hecho te escribo de una pc cliente de una de mis redes inalambricas donde esta maquina funciona con WPAD para obtener la configuracion del proxy por donde debe salir sin problemas. Estamos a la orden
-
Lo que quiero decir es que, teniendo proxy transparente, aunque no haga falta, configuras el navegador con los parámetros (ip más puerto) de tu proxy. Después intenta acceder a la administración de tu pfsense (webconfigurator), verás como tienes acceso a pesar de tener alguna regla que no lo permita.
Te agradecería que lo probaras. -
En ese escenario estas obligando al navegador a usar el proxy para salir donde sea por ello el bloqueo seria en el proxy mas no en el pfsense. Ahora bien cabe destacar que si tienes el proxy transparente e intentas usarlo manual configurando el mismo puerto transparente deberia tirarte un error porque se supone el proxy esta como transparente en el archivo de configuracion.
-
Pues no lo tira, por eso me extrañaba. La configuración primera es en modo no transparente, pero probé con con trasparente para ver que sucedía (hay que seguir investigando siempre), y cual fue mi sorpresa que además de funcionar, se saltaba las reglas del firewall, teniendo que restringir acceso vía proxy.
