Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloquear acesso a WebGui pela Rede LAN

    Scheduled Pinned Locked Moved Portuguese
    12 Posts 6 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wrp
      last edited by

      Opa Lucas,

      Obrigado pelo help.

      Tentei da forma que você orientou, e o bloqueio ao acesso funcionou, só que fiquei com o seguinte problema, tenho paginas de bloqueio personalizada "sgerror.php", depois que mudei a porta e criei a regra, as paginas não carregam mais, ele demora determinado tempo e acaba carregando a pagina original do squid.

      Passos realizados

      • Troquei a porta padrão de 80, para 8082(Não sei se pode ser essa porta);
      • Desabilitei a Regra AntiLockout;
      • Testei o acesso e funcionou perfeitamente;
      • Paginas de bloqueio pararam de funcionar, voltei a porta para o padrão e as paginas voltaram a funcionar.

      Obs. Uso o squid3 dev com filtro ssl/https

      1 Reply Last reply Reply Quote 0
      • L
        lucaspolli
        last edited by

        ja vi um topico que falava desse assunto mais nao lembro qual era a solucao, vou dar uma olhada e posto aqui…

        1 Reply Last reply Reply Quote 0
        • L
          lucaspolli
          last edited by

          https://forum.pfsense.org/index.php?topic=77281.msg421610#msg421610

          basicamente vc precisa subir outro daemon para o lighthttpd na porta 80 pro sgerror.php

          passos a passo:

          desabilitar no system->advanced a opção de redirecionar o trafego de http para https
          copiar o arquivo de configuração do lighthttp (cp /var/etc/lighty-webConfigurator.conf /var/etc/lighty-proxy-wpad.conf  por exemplo)
          editar o novo arquivo e alterara o listen port para 80 e mude o diretorio raiz do site para por exemplo /usr/local/www/wpad
          copiar o arquivo de erro do squidguard para /usr/local/www/wpad (também funciona para arquivos de configuração automática de proxy)
          iniciar o lighthttpd com o comando /usr/local/sbin/lighttpd -f /var/etc/lighty-proxy-wpad.conf
          verificar/criar as regras de firewall para permitir acesso ao  lighthttp no ip:porta que você configurou

          passos adicioanis/opcionais

          criar um script para verificar se o daemon novo esta ou não no ar
          instalar o pacote filer para editar os arquivos de configuração via gui e mante-los no backup do pfsense

          1 Reply Last reply Reply Quote 0
          • D
            ddorts
            last edited by

            Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,

            detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.

            pfsense.JPG
            pfsense.JPG_thumb

            1 Reply Last reply Reply Quote 0
            • L
              lucaspolli
              last edited by

              @ddorts:

              Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,

              detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.

              nesse caso quando alguem receber o erro de acesso negado o firewall nao irá bloquear? pois ele nao terá acesso a porta que a pagina do erro usa..

              1 Reply Last reply Reply Quote 0
              • D
                ddorts
                last edited by

                Nesse caso vc pode usar o squidguard, ele consegue redirecionar a pagina de bloqueio para outro servidor sem ser o pfsence.

                Att.

                1 Reply Last reply Reply Quote 0
                • B
                  brunopinheiro
                  last edited by

                  Bom dia pfirewa,

                  Essa situação é bem explicado pelos colegas lucaspolli e ddorts. O squidguard por padrão utiliza a porta 80 (mesmo utilizado pelo lighthttpd). Você tem as seguintes saídas para contornar essa situação (em ordem de melhor solução):

                  1- A solução do nosso colega ddorts (redirecionar para um outro servidor). Verifiquei alguns comentários de outros colegas que a utilização da pagina de erro no mesmo servidor que o pfsense, gera uma certa sobrecarga (pois dependendo da frequencia, forçará a utilização do servidor web lighthttpd. Quanto mais recursos voce puder atribuir as outros servidores, mais aliviado seu pfsense ficará.

                  2- A solução do nosso colega lucaspolli (subir outro daemon para o lighthttpd na porta 80). Dessa forma voce poderá alterar a porta de gerencia web do pfsense para qualquer outra, inclusive fazer uso do protocolo https.

                  3- Inserir em "Services > Proxy filter > Common ACL > Redirect info" e "Services > Proxy filter > Groups ACL > Redirect" (em todos os grupos) a opção abaixo:

                  redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                  Dessa forma o redirecionamento fará uso da mesma porta de gerencia do pfsense.

                  Grande abraço.

                  Att,

                  Bruno Pinheiro.

                  1 Reply Last reply Reply Quote 0
                  • B
                    brunopinheiro
                    last edited by

                    Onde se lê:

                    redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
                    leia-se:

                    http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                    1 Reply Last reply Reply Quote 0
                    • A
                      avner_ads
                      last edited by

                      Bruno, muito obrigado pela sua dica. Outro detalhe importante na 3º solução que você apontou é a necessidade de alterar o Redirect Mode ext url error page (enter url) e ai sim inserir a URL colocada aqui no post.

                      Abs.

                      1 Reply Last reply Reply Quote 0
                      • S
                        sosmicro
                        last edited by

                        @Bruno:

                        Onde se lê:

                        redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
                        leia-se:

                        http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                        Bruno.
                        A sua dica funciona quando a página bloqueada está usando o protocolo HTTP… se ela usa o HTTPS nenhuma pagina de erro é retornada...

                        Vc consegue retornar a pagina de erro nos 2 casos? (usando proxy não transparente .. com proxy transparente + filtro ssl ativo + certificado funciona)

                        Oswaldo Romano
                        SOSMICRO - uberaba - MG

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.