Redirecionamento De Navegação Padrao para Squid porta 3128

davidjrsp

Olá Pessoal

Estou tentando criar uma regra no firewall para tudo que viem das portas de navegação 80 , 8080 , 443 (criei uma Alias com essas portas) redirecione para a porta do servidor proxy Squid 3128, fiz essa regra na Lan do Firewall só que não rolo.
O que eu quero fazer é não ter que configurar o proxy nas maquinas dos usuários e assim que ele abrir o navegador pedir login e senha do squid como já é feito se colocar na mão setando o proxy.

Segue o print da regra.

redirecionaporta.jpg_thumb

lucaspolli

ja tentou usar wpad?

http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

davidjrsp

Oi Lucas tudo bem? obrigado pela força

Então tentei usar agora que vc falou e o procedimento, só não fiz a Parte do DHCP pq não uso na rede é tudo ip fixo ( por enquanto), criei os 3 arquivos com o conteudo alterando o ip para o do meu servidor pfsense.
ficando assim conforme abaixo.
ativei o ping no firewall eu ping certinho ip so que o pfsense.localdomain não pingo, será que tenho que colocar o nome e ip no servidor DNS do active diretory ?
Na estação coloquei no browser para achar automaticamente o proxy só que não está achando :(

function FindProxyForURL(url, host){

var host_ip;

host_ip= dnsResolve(host);

if (isInNet(host_ip, .127.0.0.1., .255.255.255.255.))

return .DIRECT.;

if (isInNet(myIpAddress(), .192.168.1.0., .255.255.255.0.))

return .PROXY 192.168.1.236:3128.;

else

return .DIRECT.;

}

lucaspolli

sem distribuicao por dhcp ou dns ele nao vai achar… se for por dns e seu server dns for windows, vc precisa fazer alteracao no registro do server, o winserver bloqueia wpad por padrao, precisa remover isso, como faz o google te responde rapidinho..

davidjrsp

Ah blz vou caçar, Valeuuu

davidjrsp

Oi Lucas, consegui tirar o desbloqueio do DNS do Windows Server para aceitar wpad mais mesmo assim não rolo ate criei as entradas e não pinga
sabe o que é mais estranho seguindo esse procedimento eu não consigo pingar o wpad.pfsense.srv mais eu consigo no browser baixar o arquivo wpad.dat apontando para o ip do servidor pfsense
eu peguei uma maquina fora do dominio e apontei o dns direto para pfsense e tbm não rolo, tem que subir o bind no pfsense ? e configurar alguma coisa já que eu não uso DHCP?
eu subi pra teste o bind e tbm não funciono fiz uma configuração básica e tbm não funciona o ping por nome wpad.pfsense.srv estranho que no proprio console do pfsense ele pinga.
segue um print da zona do dns no pfsense

dnszonas.jpg_thumb

lucaspolli

vamos do inicio, quem é seu server DNS? se for windows crie um host A wpad.seudominio.com, no pfsense basta ter o DNS forwarder configurado, crie um host override tb, no pfsense nao precisa configurar mais nada alem disso

davidjrsp

Oi Lucas primeiramente obrigado pela atenção e o apoio.
Vamos lá deixa te passar o cenario
to com dois ambiente um com active directory e outro sem active directory.
mais vamos um de cada vez para não enrola tudo.

Fiz o que vc falou Criei a entrada A no DNS do Windows Server 2012
e o dns forwarder no pfsense, da estação do usuario pingo legal direcionando o ip pro pfsense. só que não navegou mesmo ticado a opção de detectar automaticamente o servidor proxy.
uma duvida sobre aquele procedimento, o wpad.dat precisa instalar na maquina rodar ou algo do tipo ?
vou te mandar os prints.

Obrigado pela força vc e a comunidade tem sempre me ajudado.
Estou correndo com esses teste na empresa que trabalho para colocar o pfsense em produção, pq sempre falo em dois cenarios, por enquanto nao tenho Active Directory mais quero colocar, hoje é feito compartilhamento tudo no samba. e as estações nao tem um dominio. só que como antes vou trocar o Firewall para Pfsense preciso desses detalhes para o cenario atual para depois colocar um Windows Server 2012

registrodnswpad.jpg_thumb

pingwpad.jpg_thumb

pfsensednsforward.jpg_thumb

lucaspolli

a configuracao esta correta, nas estacoes nao precisa nada alem do "detectar automaticamente", tente renovar o cache de dns do server e das estacoes, eu particularmente nao gosto da opcao de distribuir por DNS prefiro por DHCP, no meu caso, uso os dois, se um falha o outro funciona.. como vc nao usa DHCP…

o seu script esta exatamente como vc postou acima? se for esta com problemas, tem .; onde deveria se ";

use esse:

function FindProxyForURL(url, host){
var host_ip;
host_ip = dnsResolve(host);
if (isInNet(host_ip, "127.0.0.1", "255.255.255.255"))
return "DIRECT";
if (isInNet(host_ip, "192.168.1.0", "255.255.255.0"))
return "DIRECT";
if (isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0"))
return "PROXY 192.168.1.236:3128";
else
return "DIRECT";
}

davidjrsp

Olá Lucas

Troquei o script e também não rolo :'(

quando está para detectar automatico o proxy ele passa por squid e também pede para autenticar ?
pq se eu coloco na mão o proxy e a porta 3128 ele me pede para autenticar belezinha

davidjrsp

olha que estranho
no tracert da estação ele chega ate a sair pelo wpad.

tracert.jpg_thumb

lucaspolli

sim pede autenticacao da mesma forma, sobre o tracert ele esta apenas mostrando o nome do server, buscando o que vem do dns, ou seja, esta dizendo que esta saindo pelo seu server.. nao necessariamente que esta usando o script.. provavelmente o seu problema é a distribuicao.. por DNS nao esta rolando..

uma solucao seria ativar o DHCP, como vc disse que todos usam ip fixo, voce pode fazer a reserva dos ips no dhcp..

davidjrsp

será que não teria alguma outra forma ?
de não ter que usar o wpad ?
e não ter que colocar o proxy na mão ? ( sei que da para fazer uns bat e uns scripts para colocar o proxy) mais se fosse automatico só colocando o gateway e dns na maquina ia ser show

lucaspolli

com tela de autenticacao vc pode usar o Captive Portal… ou inserir o proxy via GPO (active directory)

davidjrsp

Mais com o Captive Portal eu consegui integrar o squid e o squidguard com os grupos acls ?
trabalha com os grupos e tals ?
pegando os usuarios do AD ?

lucaspolli

100% nativo nao.. vc vai ter que rodar alguns scripts que o pessoal aqui ta testando.. principalmente para relatorios e tal.. eu montei um com autenticacao no AD com esse tuto.. funcionou de boa.. so nao tentei relatorios..nessa parte de integracao com grupos, creio que tem pessoas mais qualificadas que eu aqui..

https://forum.pfsense.org/index.php/topic,56238.msg303548.html#msg303548

mais como vc tem um AD na rede ainda sugiro montar um DHCP e habilitar proxy via GPO

davidjrsp

Valeu Lucas toda a ajuda.

O Active ainda não ta em produção e ainda vai demorar para eu implantar ele.
hoje o cenario é sem Active Directory tenho um firewall linux comprado e todos os usuarios sao cadastrado nele mesmo e tem uma telinha igual ao portal captive

creio que por enquanto sem o AD vou ter que criar mesmo os usuarios no pfsense e trabalhar com o Portal Captive só que queria pelo menos ter as acls do squidguard por grupo e um relatorio nem que seja basico

lucaspolli

@davidjrsp:

Valeu Lucas toda a ajuda.

O Active ainda não ta em produção e ainda vai demorar para eu implantar ele.
hoje o cenario é sem Active Directory tenho um firewall linux comprado e todos os usuarios sao cadastrado nele mesmo e tem uma telinha igual ao portal captive

creio que por enquanto sem o AD vou ter que criar mesmo os usuarios no pfsense e trabalhar com o Portal Captive só que queria pelo menos ter as acls do squidguard por grupo e um relatorio nem que seja basico

nesse caso creio que o captive é o mais indicado, voce consegue integrar com squidguard e ter relatorios, so vai ter que fazer algumas coisas na mao.. nada que uma pesquisa e um pouco de dedicacao nao resolva..

davidjrsp

Vou fazer isso.
Abraço e obrigado Deus de em dobro e te abencoe