Liberar macs para não passar pelo proxy
-
Atrela o MAC da máquina dele a um IP. Ele sempre vai receber o mesmo endereço.
Só cadastrar ele nas opções do DHCP Server.https://doc.pfsense.org/index.php/DHCP_Server#Static_IP_Mappings
-
Entendi. Então, como ficaria essa regra de prerouting usando o ip ao invés do mac?
-
O Iptables trabalha de forma diferente que o Packet Filter do pfSense.
Voce precisa somente criar um Alias com os IPs, e depois criar uma regra de PASS na interface onde as máquinas estão, por exemplo a LAN.Recomendo você procurar videos de como funciona o firewall no pfSense, pois confunde um pouco para quem vem do Linux.
Da uma olhada neste vídeo, creio que vai te ajudar a entender melhor:
http://www.ivanildogalvao.com.br/seguranca/pfsense-firewall-e-roteamento -
Amigo muito obrigado.
Está funcionando!!!
Só tem um porém, será que tem como configurar uma página como no squid do linux para quando o usuário desmarcar o proxy e não for liberado, aparecer uma tela avisando?
Porque no pfsense só aparece: essa página da erb não está disponível.
-
Como era a forma que fazia no Linux?
-
Uso essa regra para direcionar todfo tráfego pra o proxy. Com isso, se o usuário desmarcar o proxy autenticado no navegador, ele redireciona automaticamente para a página erro "The requested URL could not be retrieved" onde eu peguei nesse arquivo na pasta de erros do squid e alterei.
#CONFIGURA?^??^?O PROXY##############################################
iptables -t nat -A PREROUTING -i $IF_INTERNO -p tcp –dport 80 -j REDIRECT --to- port 3129 #redirecionar www da porta 80 para 3129 proxy
iptables -A INPUT -i $IF_INTERNO --dst $IP_INTERNO/255.255.255.255 -p tcp --dpor t 3129 -j ACCEPT # acesso interno ao Proxy aceitar os outros na porta 3128 -
Certo, isso é feito automaticamente no pfSense quando ativo o proxy transparente, essa regra de redirecionamento é criada.
Essa pagina de erro você pode personalizar da mesma forma, pois é uma html do Squid. -
E no meu caso que uso o proxy autenticado, não era para fazer isso automaticamente?
você usa squid transparente? me passa a regra para eu tentar colocar aqui para eu ver se redireciona no autenticado
-
Proxy transparente não tem nada a ver com proxy autenticado.
A regra é criada pelo pfSense, não tem como eu te passar ela.
Eu só uso proxy ativo (não transparente).
Você ativa o proxy transparente nas configurações do Squid, e a regra vai ser criada, mas ela não aparece pra vocês nas regras de firewall da LAN.
-
Se o proxy é autenticado, feche a porta 80/443 que se ele desmarcar o proxy no browser não vai navegar. Aquela sua regra do iptables estava usando um proxy misto autenticado/transparente, ou seja se o usuario desmarcar o proxy ele continuaria fazendo o proxy transparente.
-
Isso já está feito!!
Ai no caso, quando nega, abre essa tela em branco que falei anteriormente com a mensagem como se não tivesse internet"essa página da erb não está disponível." Preciso que abra uma pagina personalizada como no squid do linux entendeu?
desde já agradeço,
-
Alguem sabe como direcionar para uma página específica do squid quando não estiver com o proxy configurado no navegador?
-
Use WPAD para entregar a configuração automática para os navegadores, assim não precisa configurar manualmente.
-
Tomas.,
O problema não é configurar manualmente ou automaticamente, quero realmente direcionar para uma página se o usuário não estiver com o navegador configurado. Nessa página, irei fazer uma customização onde ensino o usuário a configurar o proxy como faço hoje no linux.
-
Eu entendi o que você quer, só te dei uma opção de não precisar fazer essa pagina. A configuração vai ser entregue automaticamente, é só uma opção. Faça como você achar melhor, eu só acho desnecessário.
-
boa noite,
aproveitando a conversa de voces eu criei um ambiente com PF 2.2.2 + AD(NTLM), usando WPAD para integrar as configurações, porém preciso de alguma forma criar exceção para os servidores nao passar pelo proxy, tenho procurado uma forma sem ser por regra de firewall.
Alguem já conseguiu fazer isso?
eu uso esses comandos no meu WPAD:
function FindProxyForURL(url, host){
var host_ip;
//Exceção por rede de destino
host_ip= dnsResolve(host);
if (isInNet(host_ip, "127.0.0.1", "255.255.255.255"))
return "DIRECT";
if (isInNet(host_ip, "192.168.2.0", "255.255.255.0"))
return "DIRECT";
else
return "PROXY 192.168.2.2:3128";
}abraços,
Renan Lima
-
Renan Lima,
veja em: http://findproxyforurl.com/example-pac-file/// If the hostname matches, send direct.
if (dnsDomainIs(host, ".intranet.domain.com") ||
shExpMatch(host, "(*.abcdomain.com|abcdomain.com)"))
return "DIRECT"; -
Alguem sabe como direcionar para uma página específica do squid quando não estiver com o proxy configurado no navegador?
Olá.
Uma pergunta… vc já tinha essa solução funcionando?
Seria uma possíbilidade se o pfsense fosse capaz de rodar 2 instâncias do proxy na mesma LAN (1 transparente e 1 autenticada).
Talvez seja possível usando captiveportal.abs