Squid autenticado + email expresso.rs.gov.br

IsmaelPA

Olá

sistema: Pfsense 2.2, Squid 2.7.9

Estou com uma certa dificuldade para configurar o squid de forma que ele não tenha cache para o site de webmail expresso.rs.gov.br.
Estou usando os navegadores com usuários autenticados no squid +ldap, na porta 3128. Quando utilizávamos proxy transparente eu adicionava a exceção em "Bypass proxy for these destination IPs" na aba General em Services-Proxy server, porém esta opção fica desabilitada ao utilizar autenticação.
Já tentei adicionar na opção Cache Mgmt - do not cache a URL/IP mas não obtive sucesso.
Access Control - Whitelist também não resolve.

Ao digitar o usuários e senha, por passar pelo proxy, mesmo estando os dados corretos o site retorna uma mensagem automática de sessão expirada.

Desde já, obrigado.

carlos.pratti

E se adicionar a exceção na configuração do proxy das estações?

iNCONIX

Hj eu utilizo captive portal e proxy transparente, e não tenho mais esse problema pq o "Bypass proxy for these destination IPs" funciona bem.

Mas já tive esse problema com Linux qdo utilizava proxy autenticado, e a única solução é alterando as regras do FW.

Infelizmente não tenho muito conhecimento do IPFW ( firewall do FreeBSD ) para te ajudar na empreita.

Mas se vc pesquisar vai encontrar uma solução. Este é o caminho para resolver seu problema.

guitarcleiton

Descubra quais são os ips que respondem para o endereço
vá em firewall > aliases e crie uma aliase com este(s) ip(s)
Vá em firewal > rules > lan e crie uma regra de pass para o destino da aliase que você criou

se atente a ordem das regras do firewall

IsmaelPA

@carlos.pratti:

E se adicionar a exceção na configuração do proxy das estações?

Bom dia, essa opção é totalmente inviável, o expresso.rs.gov.br é um email institucional do estado do rio grande do sul, o proxy irá filtrar todas as minhas LANs, terão desktops que estão no domínio, notebooks pessoais e outros dispositivos usando nossa rede wireless. Não tem a menor condição de configurar exceção em cada dispositivo que estará nessas redes.

Em desktops o endereço do proxy ficará configurado diretamente no navegador, mas em celulares por exemplo, ao selecionar a rede wifi disponível o usuário digitará a senha da rede + endereço de proxy + porta, assim quando o celular logar nessa rede wifi toda a navegação do dispositivo passará pelo proxy.

Estou aberto a qualquer sugestão, obrigado pelo interesse.

IsmaelPA

@iNCONIX:

Hj eu utilizo captive portal e proxy transparente, e não tenho mais esse problema pq o "Bypass proxy for these destination IPs" funciona bem.

Mas já tive esse problema com Linux qdo utilizava proxy autenticado, e a única solução é alterando as regras do FW.

Infelizmente não tenho muito conhecimento do IPFW ( firewall do FreeBSD ) para te ajudar na empreita.

Mas se vc pesquisar vai encontrar uma solução. Este é o caminho para resolver seu problema.

Bom dia

Também pensamos em utilizar um captive portal, porém a opção do squid autenticado no LDAP foi porque precisamos de alguma forma ter um log que associe o conteúdo acessado a quem acessou, com o captive portal eu tinha somente e log de quem se logou e quando, mas não o que foi acessado.

Eu acredito que a questão não seja as regras do firewall propriamente dito mas sim no squid, ao usar o navegador apontando para o IP do servidor + porta 3128, todas as requisições do navegador irão para este IP e porta, quando é digitado https://expresso.rs.gov.br (200.189.134.172) essa requisição é enviada direto ao squid.

Quando eu tiro o squid do modo autenticado e passo para o modo transparente, a autenticação desse email volta ao normal.

obrigado pela resposta, a saga do squid autenticado + email expressolivre continua…

jvicente

eu não utilizo a versão 2 faz tanto tempo, portanto, veja ai nas configurações do squid para nao fazer cache deste dominio.

IsmaelPA

@jvicente:

eu não utilizo a versão 2 faz tanto tempo, portanto, veja ai nas configurações do squid para nao fazer cache deste dominio.

Já utilizei a opção Do not cache, com o domínio expresso.rs.gov.br, mas somente isto não está sendo suficiente. Nenhum navegador utilizando proxy autenticado está conseguindo autenticar os usuários na tela de login do email.

dougf4nnie

## Etapa 1 - Criando o(s) arquivo(s) e diretorio(s) e configurando permissões via console

# Acessar a pasta onde irão ficar os arquivos customizados a serem usados pelo squid:
cd /var/squid/acl/
–

# Criar a uma pasta chamada bypass (fica a critério a escolha do nome):
mkdir bypass
–

# Acessar a pasta bypass e criar um arquivo chamado "dominios.acl"
cd bypass
touch dominios.acl
–

# Editar o arquivo criado (use o editor de sua preferência):
ee dominios.acl
–

# Inserir os dominios que não precisam ser autenticados para navegar pelo proxy:
.seudominio.com.br
.teste.com.br

OBS: Não esquecer de deixar o "." PONTO na frente do dominio como o exemplo acima.
–

# Dar permissão a pasta e arquivos criados:
chown -R proxy:proxy /var/squid/acl/bypass
–

## Etapa 2 - Configurando os parametros a serem usados pelo squid

# Configuração da ACL para os dominios cadastrados no arquivo "dominios.acl" serem acessados sem autenticação (bypass):

–---------------------------------------------------------------------------------

Dominios que sao acessados sem autenticacao no proxy - bypass

-----------------------------------------------------------------------------------

acl dominios_bypass dstdomain "/var/squid/acl/bypass/dominios.acl"
http_access allow dominios_bypass

OBS: Sempre que puder crie uma descrição da ACL criada… isso facilita identificar a função da ACL.
–

## Etapa 3 - Inserindo as configurações da Etapa 2 nas configurações do squid via GUI do pfSense (Services > Proxy Server)

# Acessar o menu de configuração do squid, menu "Services > Proxy Server":
–

# Copiar o a configuração da ACL criada na Etapa 2:

*********** COPIAR O CONTEUDO TODO ABAIXO ***********

–--------------------------------------------------------

Dominios que podem ser acessados sem autenticacao no proxy

----------------------------------------------------------

acl dominios_bypass dstdomain "/var/squid/acl/bypass/dominios.acl"
http_access allow dominios_bypass

******************* FIM ********************

# Vá até a opção "Custom Settings" e cole o conteúdo acima no campo "Custom ACLS (Before_Auth)" e depois clique em SAVE.

OBS: A ACL deve ser criada ANTES DOS PARAMETROS DE AUTENTICAÇÃO CONFIGURADOS NO SEU SQUID!!!
–
# Testar a solução!

OBS: A solução apresentada foi feita em cima do pfSense 2.2.3 utilizando a última versão do squid3 !!!

Também é interessante você criar uma ACL para dominios que não irão para o CACHE squid, isso também evita problemas de acesso a determinados serivços.  ;)

marcelloc

Como sugestão, utilize o pacote filer para criar o aquivo da etapa1. dessa forma suas configurações ficam no backup xml do pfSense e facilitam bastante uma restauração.