Problema com acesso sem proxy
-
Boa tarde a todos,
Tenho o seguinte ambiente aqui na empresa.
Tenho um PFSense instalado, fazendo papel de gateway da rede, com dhcp ativo.
Ele também é responsável pelo squid autenticado e sarg.Até ai tudo bem, eu coloco o proxy na aba conexões la em Opções da Internet, show, tudo funciona.
Mas quando eu removo o proxy, o acesso total é liberado.
Como eu posso fazer para bloquear o acesso para usuários que não estejam com o proxy ativo ?Eu tentei com o proxy transparente, mas estava dando muito problema com os sites HTTPS.
Outro problema é quando tento gerar o relatorio do SARG.
Se eu forço ele a fazer, ele gera numa boa .. mas se eu abro a pagina novamente ele some o index parece.
No Realtime funciona certinho, numa boa ..Tem esse erro aqui quando salvo a informação da agenda: Warning: symlink(): No such file or directory in /usr/local/pkg/sarg.inc on line 98
Ele gera, mas quando abro o relatorio, recebo esse código de erro.
Error: Could not find report index file.
Check and save Sarg settings and try to force Sarg schedule.Se alguém puder me ajudar eu agradeço.
-
O bloqueio de máquinas sem proxy é feito nas regras da Lan. Bloqueie principalmente 80 e 443. Mas de preferência a configuração inversa, ou seja, libere apenas os serviços que a empresa necessita.
-
Certo, eu li sobre isso em outros, mas quando faço isso com e sem proxy para tudo aqui..
Teria algum exemplo de como ficaria ?
Não sou expert em firewall e essas paradas..
Como aqui não tem AD, não tenho como bloquear a parte do proxy, se desse seria tudo mais simples, então, busco soluções alternativas para os caras que tirarem o proxy de la ..
-
Cria uma regra na LAN autorizando o FW a acessar as portas 80 e 443
-
Não sou expert em firewall e essas paradas..
Você precisa criar uma regra de firewall em firewall -> rules -> lan.
acima da regra que libera tudo, você cria uma regra bloqueando trafego tcp na porta 80 e outra regra bloqueando trafego tcp na porta 443.
Tanto no forum, quando no google você encontra fácil tutoriais de como criar regras de firewall no pfSense.
-
Tudo bem, vou tentar efetuar essas alterações.
Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?
-
Tudo bem, vou tentar efetuar essas alterações.
Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?
Sim.
-
certo, vou tentar efetuar essas alterações e comunico.
Quanto ao Sarg, alguem tem algum parecer?
O cenário que preciso dentro da empresa é bem simples..
Preciso apenas do proxy transparente rodando, sem bloqueios algum e o relatorio de acessos aos sites, porém tive diversos erros com os sites https, erros com o certificado, ja fiz e refiz 30x e persiste os erros..
o sarg, da uns bugs que quando atualiza some todos os relatorios .. -
Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.
-
Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.
Com o splice o consumo de memoria está bem alto, avaliar com moderação.
Marcello, esta tendo sucesso com Splice All?
-
Marcello, esta tendo sucesso com Splice All?
só lab por enquanto. Estou focado no antispam e e2guardian.
-
Tudo bem, vou tentar efetuar essas alterações.
Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?
Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.
O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.
Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso. -
Tudo bem, vou tentar efetuar essas alterações.
Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?
Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.
O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.
Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.Acredito que não, pois como a regra é default, ela ta liberando tudo, se ta liberando tudo consequentemente era pra ta acessando normal.