Captive portal apenas navegação ou uma determinada porta
-
Bom dia pessoal, tudo bem? Sou novato no pfsense, já consegui fazer ele funcionar tranquilamente, ative o captive, já integrei com o AD, tudo 100%, funcionando. Minha dúvida é, tem alguma maneira de deixar o captive interferindo apenas na navegação? Deixar liberado para os usuarios entrarem no ftp ou no outlook sem que ele precise entrar no navegador para fazer a autenticação? Já tentei liberar as portas no firewall, mas se o captive estiver ativo ele não consegue. Alguém tem alguma dica?
Obrigado..
-
No caso de ser apenas para alguns:
Na aba MAC no cadastro da zona Captive Portal, vc adiciona os Mac adress permitidos sem altenticação, lá esses MAC Address irão se conectar e não vao ser interrompidos por autenticação nenhuma. Assim como se diz na nota, no rodapé da página:Nota:
Adding MAC addresses as 'pass' MACs allows them access through the captive portal automatically without being taken to the portal page.Lembre-se que esses MACs conectados, nao aparecem na página de status, nen no widget. Somente os interceptados por autenticação aparecem.
No caso de ser para TODOS que se conectarem:
No cadastro da zona Captive Portal tem a sessão "Autentication" onde vc marca se quer usar Login/Voucher Freeradius ou No Autentication.
Marcando "No Autentication" nenhuma autenticação será solicitada e toda nova conexão de cliente será registrada e liberada automaticamente.
Nesse caso, nao vejo muitas vantagens em usar Captive Portal, mas cada caso é um caso…. -
Obrigado pelo retorno.
Mas o que eu realmente queria é que ao tentar navegar, usando browser, fosse solicitado a autenticação, eu só não queria que solicitasse para determinados aplicativos, portas. tem como? -
Reli sua pergunta e agora entendi certinho.
Bom, não sei mesmo se tem como ou não.
Vou acompanhar aqui pra ver se alguém sabe, a informação pode ser útil um dia. -
Captive Portal é para não permitir nenhuma conexão, não tem como você separar por tipo de trafego.
-
Pensando bem…...
Porque vc nao deixa o faz com squid autenticado???
O Wifi ficaria livre e só a navegação exigiria autenticação! -
Na verdade …eu já até configurei o squid com autenticação no ad, eu só queria aproveitar a tela de login do captive, iria substituir por um tutorial explicando para os usuarios de fora do dominio como configurar o proxy.
Assim quando alguém tentasse navegar sem o proxy, seria exibido o tutorial, fornecido pelo captive, sei q é gambiarra, já desisti. Tentei dessa forma porque não consegui fazer no pfsense redirecionasse as tentativas de navegação para um minisite. Já tenho hoje em um servidor bem desatualizado, um squid com autenticação e com o iptables eu fiz q todo mundo q tentasse navegar sem proxy eu redirecionava para um servidor iis, exibindo o tutorial:iptables -t nat -A PREROUTING -p tcp -s 172.16.0.0/24 --dport 80 -j DNAT --to-destination 172.16.0.2:81
Não sei como fazer isso no pfsense, tentei nas configurações firewall/nat mas não rolou, devo ter feito algo errado. Se alguém tiver uma dica.
-
Você pode entregar as configurações de proxy automaticamente por WPAD e tratar no Squid a autenticação e não usar proxy transparente.
-
Sim eu já uso wpad, mas em certas configurações ou dispositivos, como android, não rola. então fiz um html com javascrit que identifica o tipo de dispositivo e/ou navegador e ja abre um tutorial de como ele deve configurar o proxy. Só preciso saber como redirecionar.
-
Só configurar manualmente o proxy nas configurações avançadas da conexão nos dispositivos móveis que funciona.