Navegando sem Proxy (Resolvido)
-
Boa tarde pessoal,
bom, meu pfSense tá quase do jeito que eu gostaria, só um detalhe que está me tirando o sono ..
com o proxy configurado nas estações, o pfSense roda certinho, só acessa o que eu permiti, mas ao tirar o proxy, todos os sites ficam liberarados ..
já bloqueei acesso as portas 80 e 443, mas mesmo assim o acesso é permitido.
Alguém poderia me ajudar ?
Obrigado ! -
Se tiver como posta suas regras para ver como está…
-
Só tenho 1 regra, que é bloqueando o acesso as portas 80 e 443. Meu proxy tá configurado pra usar a porta 3128 !
 -
O Gateway das maquinas apontam para o pfsense ?
-
brunorissi
É por que vc tem essa outra regra na Lan liberando tudo.
-
Segue
 -
Sim, o gateway das máquinas apontam para o pfSense.
Mas se eu desativar a regra que libera tudo, a internet cai. -
Se o squid e o squidguard tiver funcionando diretinho com as regras vc vai sair pelo proxy.
aqui estou sem essa regra e estou saindo pelo proxy.
navegando normal -
Fiz o teste agora. Eu desativo a regra e a internet para na hora.
-
Como está suas configurações do squid?
-
Não precisa fazer bloqueio, se não tem regra liberando é porque já está bloqueado.
Pelo que vi tem uma regra padrão abaixo das regra que libera portas que permite todo tráfego.
Você tem que remover essa regra padrão liberando tudo e fazer uma regra para cada serviço, DNS, Proxy, FTP, Skype, sistemas do Governo, etc, etc…
Se tiver dúvidas eu te passo um padrão de regras que eu uso e funcionando com Proxy Ativo (não transparente)
-
Eu desativei a regra que liberada tudo e criei outra pra liberar somente a porta 3128. Mas ainda continua navegando sem proxy !
 -
Segue
 -
Faz um reset da tabela de estados de conexão ou reinicia o PFSense, parece que as conexões estavam abertas;
-
Reiniciei o pfSense e nada. Que zica é essa !
-
relembrando, no pfsense o que nao for liberado, esta bloqueado por padrao, entao a sua regra de bloqueio é inutil nessa situacao..
sua regra de proxy tambem nao esta totalmente correta, o protocolo é TCP e no Destination, coloque LAN Address
-
Não precisa fazer bloqueio, se não tem regra liberando é porque já está bloqueado.
Pelo que vi tem uma regra padrão abaixo das regra que libera portas que permite todo tráfego.
Você tem que remover essa regra padrão liberando tudo e fazer uma regra para cada serviço, DNS, Proxy, FTP, Skype, sistemas do Governo, etc, etc…
Se tiver dúvidas eu te passo um padrão de regras que eu uso e funcionando com Proxy Ativo (não transparente)
poderia me passar essas regras, e sem querer tipo explicar que eu não entendo tipo quando eu coloquei o proxy uma vez a removi a regra que liberava tudo, e deixei sem nenhuma regra ai as maquinas não navegava, falaram pra fazer regras liberando portas de dns e navegação e tal, só que fiquei na duvida se as portas de navegação estão liberadas e o proxy ta transparente, como vou saber se os clientes estão saindo pelo proxy?
-
Eu criei essas regras na LAN e funciona certinho.
IPv4 TCP LAN net * * 80 (HTTP) * nenhum Default LAN -> any
IPv4 TCP LAN net * * 443 (HTTPS) * nenhum Default LAN -> any
-
no meu tive liberar porta de dns
-
Se for proxy-transparente aí tem que ficar assim como o williandemattos colocou as regras + liberação da porta UDP 53.
Só que dessa maneira vc só vai conseguir bloquear sites em https por regras de firewall e não pelo Squid entende?
O filé mesmo pra ter um controle total da sua rede seria fazer proxy não transparente com Wpad, fica show. Bloqueia todas as portas que nao são usadas, ou quando precisar de alguma, libere especificamente para o ip da sua lan e pro ip destino.
Daí em diante vc monta os grupos da ACL no squidguard e vai liberando ou bloqueando os sites, independente se são HTTP ou HTTPs ;)