Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    1.Conexão/2.Furos no proxy/3.Monitoramento

    Scheduled Pinned Locked Moved Portuguese
    8 Posts 4 Posters 1.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      NewPR
      last edited by

      Boa noite

      1. Estou utilizando o pfsense 2.3.3-RELEASE-p1 com proxy transparente (Filtrando tanto HTTP quanto HTTPS (Com certificado instalado nas estações)). Referente a filtragem e navegação esta tudo funcionando bem o meu problema esta na conexão da estação.
      As maquinas navegam na internet, porém, o icone de rede apresenta um triangulo amarelo com a mensagem: "Sem acesso a internet". Gostaria de saber se alguem ja passou por isso e se sim, se possuem alguma ideia do que pode estar causando isto.
      Pode parecer coisa besta (de certo modo até é pois a maquina navega) mas toda hora eu recebo chamado falando sobre esta bendita ocorrência e ja esta exaustivo ter de ir de setor em setor falar sempre a mesma coisa (temos algo em torno de 140 maquinas por aqui). Se alguém souber o que esta causando isto ou já teve uma experiencia similar fico grato.

      Observações adicionais:

      • Estou com o antivirus do squid desabilitado

      • Tenho configurado no windows server o serviço de DNS e DHCP. Ambos funcionando bem (aparentemente).

      • As maquinas que estao registradas no bypass do proxy não apresentam este problema.

      2. Outro ponto que gostaria de levantar é referente aos meios para burlar a filtragem do proxy.
      Tenho alguns usuários mais ligeiros por aqui e eles costumam acessar sites como: https://www.proxysite.com/pt/ para conseguir acesso a alguns sites que não deveriam (Como por exemplo o youtube). Temos um link limitado de 8Mbps por aqui e quando todas as maquinas estão em uso fica um inferno conseguir navegação. Só agora que o proxy/firewall foi implementado que deu uma melhorada. Porém, sempre tem aqueles que querem acessar tudo sem nem ao menos saber o prejuizo que isto causa e por conta disto vira e mexe tem alguem acessando o youtube. Eu vou adicionando sites desse genero na blacklist e evitando o acesso, porém, cedo ou tarde vao começar a utilizar VPNs em .exe e ai vai complicar ainda mais a situação. Alguem sabe uma forma de evitar que isso aconteça?
      Tem como verificar o fluxo de dados e caso passe por outro caminho que não seja o proxy a conexão nao seja estabelecida?
      Aceito sugestões.

      3. Para finalizar… Alguem tem algum pacote que me permita monitorar o trafego e vistoriar os sites que estão sendo acessados em tempo real? Eu achei um pelo pfsense mesmo, chamado: ntopng. Procuro algo similar a ele. Ele tem quebrado um galho mas se alguem souber de uma ferramenta melhor para este serviço eu ficaria muito grato.

      Agradeço desde já  :D

      1 Reply Last reply Reply Quote 0
      • empbillyE
        empbilly
        last edited by

        Vamos lá.

        1. Acredito que o erro aconteça pelo fato de tu não ter configurado nas estações o IP do pfsense como DNS primário.

        2. Vá adicionando esses sites na lista de bloqueio. A questão das vpns que são instaladas nas máquinas e a questão de tu ter uma politica de segurança que não deixa o usuário comum instalar nada sem autorização da T.I. No teu AD tu pode criar GPOs pra bloquear instalações de softwares, etc.

        3. O proprio squid e squidguar/e2guardian fazem isso automatico. Deve ter uma aba de nome "Tempo Real/Real Time". O ntopng também é bom pra isso. Tu pode dar uma olhada também no squidanalyzer.

        https://eliasmoraispereira.wordpress.com/

        1 Reply Last reply Reply Quote 0
        • N
          NewPR
          last edited by

          @empbilly:

          Vamos lá.

          1. Acredito que o erro aconteça pelo fato de tu não ter configurado nas estações o IP do pfsense como DNS primário.

          2. Vá adicionando esses sites na lista de bloqueio. A questão das vpns que são instaladas nas máquinas e a questão de tu ter uma politica de segurança que não deixa o usuário comum instalar nada sem autorização da T.I. No teu AD tu pode criar GPOs pra bloquear instalações de softwares, etc.

          3. O proprio squid e squidguar/e2guardian fazem isso automatico. Deve ter uma aba de nome "Tempo Real/Real Time". O ntopng também é bom pra isso. Tu pode dar uma olhada também no squidanalyzer.

          1. Eu uso o serviço DNS do Windows Server que tenho configurado e isto começou a acontecer recentemente. Mas vou realizar o teste e dou um feedback caso solucione o problema.

          2. Certo, vou fazendo isso. Quanto as VPNs… Já tem diretiva que nao permita que o usuario instale nada na estação, porém, aqui é uma escola e os alunos costumam trazer notebook e plugar cabos RJ nas entradas disponiveis e ai eles navegam fora do dominio e é ai que eu perco o controle.

          3. Eu até cheguei a dar uma olhada na aba Real Time mas achei ela muito simples. Gostaria de uma ferramenta um pouco melhor que me permitisse filtrar os dados e tudo mais. Algo como o Wireshark (ta ai uma boa solução, me passou agora pela cabeça). Vou dar uma olhada no squidanalyzer, vlw.

          1 Reply Last reply Reply Quote 0
          • empbillyE
            empbilly
            last edited by

            1. ok

            2. O ideal em um "ambiente ideal" é que pontos de rede que não tenham equipamentos, estejam inativos. E se não me engano, esses softwares de vpn podem utilizar a 443 e ate um método diferente chamado obfuscator. Fica bem difícil tu bloquear isso.

            3. ok

            https://eliasmoraispereira.wordpress.com/

            1 Reply Last reply Reply Quote 0
            • A
              andrefreire
              last edited by

              NewPR quanto ao ícone de rede com alerta pode ocorrer somente pelo fato de a estação não conseguir pingar na internet. Esse é o teste de conectividade que o Windows faz pra testar se está com acesso a Internet.

              Se você está com o Squidguard habilitado, ele possui listas que bloqueiam sites de Proxy e VPN e funcionam muito bem.

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                Sobre a pergunta 1. Se o teste de conectividade que o windows faz, não estiver liberado no firewall, ele vai marcar a conexão como "sem internet"

                Ignore o erro ou monitore o que o windows faz pra testar a conectividade e libere o acesso.

                Sobre a pergunta 2. Habilitando o filtro de ssl e utilizando o e2guardian, você consegue bloquear o conteúdo da página. Só de habilitar o filtro de ssl, você já mata a grande maioria dos "pula proxy" desde que não tenha outras portas abertas no fw que a ferramenta possa usar.

                Sobre a pergunta 3, A aba tempo real  mostra o log do squid e nela é possível filtrar. De qualquer forma, você ainda pode acessar o log direto pela console e fazer seus filtros.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • N
                  NewPR
                  last edited by

                  @andrefreire:

                  NewPR quanto ao ícone de rede com alerta pode ocorrer somente pelo fato de a estação não conseguir pingar na internet. Esse é o teste de conectividade que o Windows faz pra testar se está com acesso a Internet.

                  Se você está com o Squidguard habilitado, ele possui listas que bloqueiam sites de Proxy e VPN e funcionam muito bem.

                  Então, eu estou com o squidguard desabilitado porque quando eu habilito ele começa a chover erro de certificado nas maquinas. Com ele off tudo funciona bem é só ligar que acontece isso.

                  1 Reply Last reply Reply Quote 0
                  • N
                    NewPR
                    last edited by

                    @marcelloc:

                    Sobre a pergunta 1. Se o teste de conectividade que o windows faz, não estiver liberado no firewall, ele vai marcar a conexão como "sem internet"

                    Ignore o erro ou monitore o que o windows faz pra testar a conectividade e libere o acesso.

                    Sobre a pergunta 2. Habilitando o filtro de ssl e utilizando o e2guardian, você consegue bloquear o conteúdo da página. Só de habilitar o filtro de ssl, você já mata a grande maioria dos "pula proxy" desde que não tenha outras portas abertas no fw que a ferramenta possa usar.

                    Sobre a pergunta 3, A aba tempo real  mostra o log do squid e nela é possível filtrar. De qualquer forma, você ainda pode acessar o log direto pela console e fazer seus filtros.

                    1. Show, vou verificar isto. Talvez haja alguma regra no firewall que esteja bloqueando o protocolo ICMP e talvez este seja o problema. Um dos professores daqui implementou algumas regras la e talvez esta esteja inclusa.

                    2. Certo.

                    3. Eu verifiquei aqui e vi que da para fazer isso. Achei bacana. Mas a ferramenta ntopng é bem mais completa e tem me ajudado pra caramba. Fica ai a recomendação da ferramente. Basta instalar ela pelo gerenciador de pacotes do pfsense.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.