[RESOLVIDO] Squid + Squidguard autenticação local
-
Boa noite senhores,
Estou usando o pfsense com autenticação local, já conheço o funcionamento man in the middle e proxy transparente, só que infelizmente a gerencia quer o proxy autenticado, enfim eu consegui fazer funcionar quase tudo, só esta faltando um pequeno detalhe é a bendita porta 443 ??? eu coloquei como prioridade nas regras LAN do firewall a porta 3128 como primeira e funciona muito bem para a porta 80 e já pede autenticação logo de cara, se eu coloco a 443 abaixo dessa regra funciona normalmente, mais se o "usuário" resolver tirar a autenticação por proxy no navegador sites HTTPS navegam normalmente, como eu poderia evitar/resolver isso?
Segue o print das minhas regras:
 -
Olá amigo,
Não sei se pode ajudar, mas seria interessante você inserir a origem da conexão, ou seja, nas regras do firewall em source, dizer que é da rede interna, no caso LAN net.
Eu tenho um cenário parecido e não criei regra no firewall paral liberar a porta 3128, apenas para bloquear a 80 e 443 e funciona bem aqui. Até fiquei curioso da necessidade de liberar a 3128…
-
Bom dia Luis
Agradeço sua ajuda, referente a regra da porta 3128 se eu não liberar ela no firewall simplesmente nem aparece a autenticação na janela do navegador para o usuário o redirecionamento para a porta 80 ocorre normalmente, somente a porta 443 que não funciona, tentei fazer 1 redirect da porta 443 para a 3128 e também não funcionou, alterei minhas regras e agora estão dessa maneira e ainda sim sem funcionar a navegação da porta 443 pelo proxy, lembrando que se eu liberar a 443 ela vai funcionar com autenticação e sem autenticação e é isso que não quero, quero apenas funcionando com o proxy autenticado.
 -
Não sei se pode ajudar, mas seria interessante você inserir a origem da conexão, ou seja, nas regras do firewall em source, dizer que é da rede interna, no caso LAN net.
Não precisa, pois a regra é atribuída à interface, então não iria fazer diferença. Isso serve para filtrar hosts de origem da sua rede local.
-
Tomas
Realmente também tentei isso, mais como você mesmo testificou não é necessário pois a regra já esta sendo atribuída na interface LAN, ainda continuo com o problema.
-
Retire a regra abaixo da regra que libera a porta 3128.
Com essa regra você está permitindo acesso via 443, se sua intenção não é permitir trafego na 443 e sempre pela 3128 é justamente o contrário que está fazendo. -
Tomas,
Fiz conforme sua orientação e funcionou !!!
-
Que bom que deu certo.
Pra melhor organização e até mesmo a regra ser mais rápida crei Alias com as portas que vai liberar e faça apenas uma regra e usa o Alias.
Use e abuse de Alias.