Mais de Uma Instância SQUID
-
Sim, não pode decompor isso no pfSense
-
@mcury , Bom Dia, também tentei, o serviço do squid sobe, porém no momento que aponto para a porta que escolhi, ele nem pede autenticação para o usuário, acaba exibindo um erro de ERR_PROXY_CONNECTION_FAILED
-
Eu estou quase tentando de novo..
De repente eu faça isso no meu lab depois do almoço, mas estou usando autenticação kerberos aki, isso pode ser um problema a mais aqui no meu setup, se eu conseguir qualquer coisa atualizo aqui -
Proxy transparente com autenticação não vai funcionar.
Para não precisar alterar a configuração fora da GUI, eu tentaria da seguinte maneira:Não testado:
1- Habilita o Squid/Squidguard normalmente.
2 - Habilita o modo transparente, mas não intercepte conexões que venham das redes que você não quer proxy transparente, isso vai ser bom para os IOT devices, já que a autenticação no proxy também não funcionaria. Tem uma opção para não interceptar por Source IP/network.
3 - Na parte de autenticação, desabilite a mesma no Squid e deixe apenas habilitada por grupo ACL lá no squidguard.- Na ACL de IOT por ex, você permite por IP ou network os devices que tem não autenticam.
- Na ACL autenticada, por exemplo do AD, você põe la o ldapsearch com os grupos do AD.
Acho que dessa maneira, com uma instância você conseguiria atingir ai o que precisa, testa e qualquer problema só informar que a gente quebra cabeça junto aqui
-
@mcury said in Mais de Uma Instância SQUID:
Source IP/network
Bom Dia @mcury, eu não uso AD, a ideia realmente era manter a autenticação do SQUID.
-
A autenticação lá na aba do Squid, tem muito tempo que não uso, acho que fiz isso para testar bem lá no início..
Ela pelo que bem me lembro, era para dar acesso ao proxy, a pessoal autenticava para poder navegar pelo proxy, com ou sem squidguard.. -
@mcury, Então eu preciso ter alguns usuarios que autentiquem no proxy para poder navegar e outros sejam transparentes, por isso queria usar a autenticacao do squid, vou te que criar um server AD para testar dessa forma que sugeriu.
-
Entendi..
Em autenticação, local, tem essa opção:
Subnets That Don't Need Authentication, já testou por o IP dos clientes lá? Se não quiser a subnet inteira, põe x.x.x.x/32 -
@mcury, bom dia fiz testes, dessa forma que sugeriu, funciona, não pede autenticação, porém preciso manter o proxy habilitado no navegador, mas eu preciso que no caso transparente não seja necessário setar ip e porta do Servidor Proxy.
-
Em proxy transparente, selecione apenas as VLANS 3 e 4 lá na parte "Transparent proxy interfaces".
Para esta mesma VLANS, coloque lá na parte de autenticação > local > Subnets That Don't Need Authentication ( 10.20.40.1/24 e 10.20.41.1/24)
O resto você usa o proxy no navegador da maneira que preferir
