Configuraração de rede corporativa e rede visitante pfsense
-
bom dia pessoal
tenho um pfsense com 4 interface de rede 2 wan e duas lan, sendo que as 2 lan uma é rede corporativa e outra visitante.
na rede corporativa mando a configuração do proxy por wpd beleza, mas na rede visitante também mandei esta conf mais os celulares não funcionarão o que fiz deixei como proxy transparente e liberei a porta https ai os celulares funcionou, queria ver com vcs qual é a melhor forma de fazer isso ou como posso redirecionar a porta 443 para o squid no proxy transparente pois tenho que fazer bloqueio dos sites pornográficos
-
Não faz redirect da 443 porque não funciona.
O que eu faço é informar o proxy manualmente nos celulares (wpad não funciona em dispositivos móveis).
Uma opção menos segura, mas possivel é usar o nxFilter, que faz fitro por DNS, ajuda mas não resolve totalmente pois usuários experientes poderão contornar.
-
a rede local Tomas não teria problema de configurar o proxy nos celulares e tal, mas a rede visitante não queria esta fazendo nenhuma configuração, tipo conectou beleza, sera que não possui uma regra float ou algo assim
-
sera que não possui uma regra float ou algo assim
Não, e não do pfSense, pelo simples fato de HTTPs ser criptografado.
-
É realmente nao tem como usar o proxy afetivo com filtro https em dispositivos moveis, no entanto alguns politicas de acesso podem ser implementadas, como o bloqueios de portas, liberar somente as essências como: https, dns, email, proxy, e as demais necessárias.
Usar o pacote PFblockerNG ajuda bloquear alguns domínios direto no firewall, usar o squidguard para bloqueios de http e bloqueios manuais de domínios com aliases no firewall dificulta o uso improprio da rede. Enfim dá pra realizar alguns bloqueios com essas políticas.
Aqui eu faço o monitoramento dos acessos com NtopNG ajuda bastante, identifico acessos indevidos e bloqueio no Captive.Blz :D
-
É realmente nao tem como usar o proxy afetivo com filtro https em dispositivos moveis, no entanto alguns politicas de acesso podem ser implementadas, como o bloqueios de portas, liberar somente as essências como: https, dns, email, proxy, e as demais necessárias.
Usar o pacote PFblockerNG ajuda bloquear alguns domínios direto no firewall, usar o squidguard para bloqueios de http e bloqueios manuais de domínios com aliases no firewall dificulta o uso improprio da rede. Enfim dá pra realizar alguns bloqueios com essas políticas.
Aqui eu faço o monitoramento dos acessos com NtopNG ajuda bastante, identifico acessos indevidos e bloqueio no Captive.Blz :D
Claro que dá, só usar proxy ativo nos dispositivos.
-
De forma automática? ::) Manual td bem, mais é inviável em uma rede Hotspot.
-
Usa Squid transparente + SquidGuard + captive portal e cria uma zona para rede corporativa e um para visitante no captive portal.
Ai a internet só é liberada após logar no CP, e depois de logado o Squidguard fará os filtros.
-
Coloca o NxFilter e bloqueia a porta 53 para ninguém consultar outro ser Vidor DNS fora da rede, exceto o proprio NxFilter.
-
Tem uma conf. que da certo, da um pouco de trabalho mas funciona para proxy transparente.
Vc vai trabalhar com Aliases eo Firewall.
=====================================
No firewall vc cria uma regra bloqueando o protocolo HTTPS.Crie uma Aliases com o nome 'Liberados' - nela vc adiciona os IPS que tenham acesso total.
Crie outra Aliases com o nome 'HTTPS ou Sites' - nela vc adicionas os IP dos Sites HTTPS que vc quer liberar, tipo banco itau, facebook…etc.
Coloque tudo exatamente na ordem, igual a imagem abaixo.
