Reglas con Proxy No Transparente

ajuser

Bueno informo al respecto por si es un error o simplemente es así. He realizado pruebas tanto con VLAN como con tarjetas físicas, teniendo configurada la primera regla como deny al webconfigurator de pfsense (primera imagen) y sin proxy , como es de esperar no podemos entrar en la configuración desde la interface. Con proxy (sea transparente o modo no transparente, segunda imagen), y el navegador con el proxy en el puerto correspondiente, la regla se la salta, pudiendo entrar en todas las IPs de configuración (cualquier red de pfsense). Tanto el proxy transparente como el no transparente, está configurado por defecto sin ninguna modificación destacable, nat automático y sin nada más.

Es decir por el puerto del proxy vuelve y se salta la regla, a no ser que configure acl para denegar en squid o squidGuard. Indudablemente no entra en el resto de las redes, pero en configuración SI.

¿Me estoy volviendo loco o esto es así?

![img 1.png](/public/imported_attachments/1/img 1.png)
![img 1.png_thumb](/public/imported_attachments/1/img 1.png_thumb)
![img 2.png](/public/imported_attachments/1/img 2.png)
![img 2.png_thumb](/public/imported_attachments/1/img 2.png_thumb)

bellera

Debes denegar el acceso a pfSense en las reglas del proxy.

Es normal que sea así, pues entregas el control de la navegación al proxy.

ajuser

Donde es mejor restringir desde squid o squidGuard al webconfigurator?
Y para las ips o bien sólo el puerto?

bellera

Puedes probar activando la opción de squid:

Bypass proxy for Private Address destination

Esto hará que para cualquier IP privada NO se use el proxy, con lo que tus reglas tienen que hacer el efecto de bloquear el acceso al configurador web.

Por cierto, ¿no tendrás marcado loopback en Proxy interface(s)?

ajuser

Esa opción solo está en modo transparente, así que puedo probarlo. Y efectivamente no tengo loopback en proxy interface. ¿algún sitio donde sea mejor configurar el bloqueo?

bellera

@ajuser:

Esa opción solo está en modo transparente

Efectivamente está en la sección de proxy transparente pero no queda claro del todo si sólo es para modo transparente, pues NO tiene la coletilla

 [Applies only to transparent mode]

de las otras dos opciones que le siguen.

Si eso no sirve tendrás que impedir con las reglas de squidGuard que se pueda llegar al configurador web, prohibiendo por IP de destino y por nombre de equipo.

ajuser

Si eso es lo que me temía, pero entonces el problema es que no puedo mostrar la página de error de squidGuard, ya que busca una ip de webconfigurator. ¿Alguna opción viable dentro de la misma máquina?
Es que además me deja entrar en la ip WAN que está dinámica, ¿esto quiere decir que al haber proxy las reglas del firewall se las salta?

bellera

Pasa el configurador web a un puerto para ssl que no sea admitido por squid, Proxy server, ACLs, acl sslports

¡Ojo!

Antes de hacerlo asegúrate que las reglas en LAN te permitirán seguir accediendo al configurador web de pfSense con el nuevo puerto.

ajuser

Me puedes dar algún ejemplo práctico o concreto? Lo puse en el 10000 (no se sí lo soporta o no) y no devolvía las páginas. Pero sinceramente lo que más me preocupa es que squid se esté saltando las reglas y pueda acceder a la ip wan por ejemplo o cualquier ip de otra red, aunque estás también las controlo con los switches.
Espero luz maestro ;)

ajuser

Como puedo des habilitar el tráfico de vuelta a las ips de configuración. Necesito un cable por que tengo que sacarlo a producción en breve.

ajuser

Nadie ha probado (incluso en proxy transparente) en configurar el navegador con proxy y que llega a la ip de configuración?

amnarl

Saludos mi estimado, no entiendo mucho que indicas trabajar un proxy transparente en una red teniendo pfsense como firewall enrutador es totalmente posible de hecho te escribo de una pc cliente de una de mis redes inalambricas donde esta maquina funciona con WPAD para obtener la configuracion del proxy por donde debe salir sin problemas. Estamos a la orden

ajuser

Lo que quiero decir es que, teniendo proxy transparente, aunque no haga falta, configuras el navegador con los parámetros (ip más puerto) de tu proxy. Después intenta acceder a la administración de tu pfsense (webconfigurator), verás como tienes acceso a pesar de tener alguna regla que no lo permita.
Te agradecería que lo probaras.

amnarl

En ese escenario estas obligando al navegador a usar el proxy para salir donde sea por ello el bloqueo seria en el proxy mas no en el pfsense. Ahora bien cabe destacar que si tienes el proxy transparente e intentas usarlo manual configurando el mismo puerto transparente deberia tirarte un error porque se supone el proxy esta como transparente en el archivo de configuracion.

ajuser

Pues no lo tira, por eso me extrañaba. La configuración primera es en modo no transparente, pero probé con con trasparente para ver que sucedía (hay que seguir investigando siempre), y cual fue mi sorpresa que además de funcionar, se saltaba las reglas del firewall, teniendo que restringir acceso vía proxy.

bellera

Modo transparente es un redireccionamiento incondicional del tráfico de navegación hacia el proxy.

@bellera:

Debes denegar el acceso a pfSense en las reglas del proxy.

Es normal que sea así, pues entregas el control de la navegación al proxy.