Configuração de rules

NegoLuis · Nov 27, 2015, 12:27 PM

Bom dia pessoal, sou novo no mundo do PFSense e estou com um problemas. Uso a versao 2.2.5 release com squid+squidGuard autenticando. Funciona perfeito. Fiz regras que redirecionam o trafego da porta 80 e 443 para a 3128, para que nenhum navegador sem config. de proxy consiga navegar. O problema vem agora, eu nao consigo dar um apt-get nem ping pelo terminal do linux (uso o Linux Mint), e presumo que nenhuma outra maquina da rede vá conseguir fazer isso. Minha pergunta: Como eu resolvo esse problema sem permitir que usuários sem proxy configurado no browser consigam navegar?

Desde já agradeço a colaboração de todos! Abraço.

tomaswaldow · Nov 27, 2015, 12:38 PM

Bom dia.

"squidGuard autenticando": o que seria, quer dizer que p proxy está informado no navegador?

"regras que redirecionam o trafego da porta 80 e 443 para a 3128": não seria regra de liberação? Pois não há necessidade de redirecionar;

"Como eu resolvo esse problema sem permitir que usuários sem proxy configurado no browser consigam navegar?": acho que ou vai ser uma coisa ou vai ser outra; Ou você passa pelo proxy ou faz regras de firewall liberando o acesso e perde o controle.

andr3.ribeiro · Nov 27, 2015, 1:10 PM

Para "apt-get" para Proxy com Autenticação é necessário incluir o usuário e senha, como EXEMPLO irei utilizar o usuário "roberto" e a senha "123mudar".

Primeiro edite o arquivo de variáveis de ambiente com o comando abaixo:

# vi /etc/environment

E inclua o seguinte conteúdo no arquivo "environment":


http_proxy="http://roberto:123mudar@192.168.1.254:3128"
ftp_proxy="http://roberto:123mudar@192.168.1.254:3128"

Acquire {
HTTP::Proxy roberto:123mudar@192.168.1.254:3128;
FTP::Proxy roberto:123mudar@192.168.1.254:3128;
};
alias wget="wget --proxy-user=roberto --proxy-passwd=senha"

OBS: Não esqueça de alterar o IP 192.168.1.254, porta 3128, usuário roberto e senha 123mudar para as informações corretas do seu servidor de proxy e salve o arquivo.

NegoLuis · Nov 27, 2015, 1:13 PM

@Tomas:

Bom dia.

"squidGuard autenticando": o que seria, quer dizer que p proxy está informado no navegador?

"regras que redirecionam o trafego da porta 80 e 443 para a 3128": não seria regra de liberação? Pois não há necessidade de redirecionar;

"Como eu resolvo esse problema sem permitir que usuários sem proxy configurado no browser consigam navegar?": acho que ou vai ser uma coisa ou vai ser outra; Ou você passa pelo proxy ou faz regras de firewall liberando o acesso e perde o controle.

Resumindo, se a máquina vai passar pelo proxy, eu daria Adeus para o apt-get e ping para qualquer site fora da rede?
E sim, o proxy está configurado no navegador, e se eu tirar aquelas regras de redirecionamento, a internet fica livre para acesso a qualquer site e a qualquer usuario (não exige autenticação) se o usuario tirar as configs. do browser…

NegoLuis · Nov 27, 2015, 1:14 PM

@andr3.ribeiro:

Para "apt-get" para Proxy com Autenticação é necessário incluir o usuário e senha, como EXEMPLO irei utilizar o usuário "roberto" e a senha "123mudar".

Primeiro edite o arquivo de variáveis de ambiente com o comando abaixo:
# vi /etc/environment
E inclua o seguinte conteúdo no arquivo "environment":
http_proxy="http://roberto:123mudar@192.168.1.254:3128"
ftp_proxy="http://roberto:123mudar@192.168.1.254:3128"

Acquire {
HTTP::Proxy roberto:123mudar@192.168.1.254:3128;
FTP::Proxy roberto:123mudar@192.168.1.254:3128;
};
alias wget="wget --proxy-user=roberto --proxy-passwd=senha"
OBS: Não esqueça de alterar o IP 192.168.1.254, porta 3128, usuário roberto e senha 123mudar para as informações corretas do seu servidor de proxy e salve o arquivo.

Sim verdade, eu havia esquecido disso. Obrigado pela ajuda ;D

NegoLuis · Nov 27, 2015, 1:29 PM

andr3.ribeiro

Infelizmente nao funcionou aqui pra mim essa solução '-'

andr3.ribeiro · Nov 27, 2015, 1:38 PM

Tenta colocar


Acquire::http::proxy "http://<usuário>:<senha>@<endereço do="" proxy="">:<porta do="" proxy="">/";
Acquire::https::proxy "https://<usuário>:<senha>@<endereço do="" proxy="">:<porta do="" proxy="">/";
Acquire::ftp::proxy "ftp://<usuário>:<senha>@<endereço do="" proxy="">:<porta do="" proxy="">/";
Acquire::socks::proxy "socks://<usuário>:<senha>@<endereço do="" proxy="">:<porta do="" proxy="">/";</porta></endereço></senha></usuário></porta></endereço></senha></usuário></porta></endereço></senha></usuário></porta></endereço></senha></usuário>

no arquivo /etc/apt/apt.conf

tomaswaldow · Nov 27, 2015, 2:17 PM

@NegoLuis:

Resumindo, se a máquina vai passar pelo proxy, eu daria Adeus para o apt-get e ping para qualquer site fora da rede?

Não, você pode configurar o apt-get para usar proxy, só pesquisar.

@NegoLuis:

E sim, o proxy está configurado no navegador, e se eu tirar aquelas regras de redirecionamento, a internet fica livre para acesso a qualquer site e a qualquer usuario (não exige autenticação) se o usuario tirar as configs. do browser…

Isso é porque a regra padrão liberando todo trafego está ligada. Deve fazer como te falei, só permitir portas/protolos necessários.

NegoLuis · Nov 27, 2015, 3:05 PM

@Tomas:

@NegoLuis:

Resumindo, se a máquina vai passar pelo proxy, eu daria Adeus para o apt-get e ping para qualquer site fora da rede?

Não, você pode configurar o apt-get para usar proxy, só pesquisar.

@NegoLuis:

E sim, o proxy está configurado no navegador, e se eu tirar aquelas regras de redirecionamento, a internet fica livre para acesso a qualquer site e a qualquer usuario (não exige autenticação) se o usuario tirar as configs. do browser…

Isso é porque a regra padrão liberando todo trafego está ligada. Deve fazer como te falei, só permitir portas/protolos necessários.

Seria isso aqui da print?

tomaswaldow · Nov 27, 2015, 6:13 PM

Não, você está liberado a pota 80 e 443, justamente o contrário.

Libere 3128 TCP, 53 DNS, pop, imap, etc…