Squid com proxy transparente e não transparente ativos , é possível?



  • Boa noite a todos!

    O meu layout de rede que estou testando em uma VM são DUAS WANS e DUAS LANS.
    Gostaria de saber se posso configurar o squid para usar o proxy transparente em uma LAN e o não transparente na outra LAN.
    A razão é que uma vai servir wifi aos clientes sendo interessante que fosse transparente, e a outra rede será utilizada pelos funcionários da empresa. Preciso pegar os logs das duas redes por motivo de segurança.
    Estou utilizando o LogSquid de forma experimental. Consigo pegar o acesso das duas redes, mas sendo as duas nao transparente ou as duas transparente. Diferente não consegui.
    Será que é possível?
    Obrigado desde já.

    At.
    Gerardo Coelho



  • Sim vc consegue ativar o proxy nas duas redes e ativar o transparente na rede WiFi. O problema é que o transparente para HTTPS precisa de um certificado para interceptar os pacotes e para funcionar terá que instalar o certificado nos clientes, inviável para uma rede wifi.
    Pode distribuir o proxy através de WPAD, mas os dispositivos móveis não recebe estas configurações. Desta forma teria proxy transparente somente para HTTP



  • na opção geral do squid3, poso ativar o proxy ativo e transparente?
    Na verdade já fiz umas regras na lan local para bloquear acesso pela porta 80 e 443, saindo apenas pela 3128 (proxy squid)
    Ja na interface da lan wifi eu nao bloqueei a 80 e nem a 443, sendo possivel navegar.
    A minha dúvida é se na aba geral do squid3 eu posso ativar o proxy transparente para a LAN wifi  e o proxy ativo para LAN (local). São duas placas de rede. Nao tentei porque penso que se eu marcar proxy transparente ele desabilita o proxy ativo pela 3128.



  • FERAS VAMOS SE JUNTAR E FAZER ISSO FUNCIONAR EU TO USANDO O PFSENSE 2.2.6

    CRIEI ESTE POST https://forum.pfsense.org/index.php?topic=114236.0

    A TURMA ESTA NA BATALHA, TEM A MESMA LOGICA QUE VC ACHO.



  • @gerardocoelho:

    na opção geral do squid3, poso ativar o proxy ativo e transparente?
    Na verdade já fiz umas regras na lan local para bloquear acesso pela porta 80 e 443, saindo apenas pela 3128 (proxy squid)
    Ja na interface da lan wifi eu nao bloqueei a 80 e nem a 443, sendo possivel navegar.
    A minha dúvida é se na aba geral do squid3 eu posso ativar o proxy transparente para a LAN wifi  e o proxy ativo para LAN (local). São duas placas de rede. Nao tentei porque penso que se eu marcar proxy transparente ele desabilita o proxy ativo pela 3128.

    O unico problema é ser vai usar proxy autenticado. Se for autenticado não tem como ser transparente. Senão for autenticado pode testar que vai funcionar normalmente, pois na realidade o proxy transparente ou não responde a porta 3128, quando vc ativa transparente ele cria um redirecionamento que tudo que vem na porta 80 é encaminhado para a porta 3128, desta forma pode usar transparente e ativo sem problema nenhum. O problema seria só no caso de autenticado.



  • Reinaldo Feitosa se junta a nos neste post

    https://forum.pfsense.org/index.php?topic=114718.new;topicseen#new



  • Ativei as duas interfaces LAN(proxy ativo pela 3128 com bloqueio no firewall das portas 80 e 443) e LAnWifi navegando pela porta 80.
    O problema é que se eu nao configurar a LANWIFI saindo pela porta 3128 o squid não registra os logs.
    Tem como o squid monitorar os logs da 80 e 3128?
    A questão da autenticação, no wifi uso o captive portal.
    Alguma luz?



  • Se estiver setado proxy transparente para a rede WiFi, vai logar somente o trafego HTTP (80) pois o redirect só vai funcionar para porta 80. Para fazer proxy transparente para HTTPS(443) precisa de instalar o certificado em cada cliente "para mim isso não é transparente".

    Eu gostaria de saber se adquirir um certificado assinado de uma raiz confiável não necessitaria de instalar o certificado nos clientes. Já pesquisei sobre isso e também perguntei aqui no fórum mas não obtive resposta.

    Instalar Certificado no cliente é mais trabalhoso que configurar o proxy, pois a configuração pode ser feita através de WPAD ou através de GPO.

    Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?



  • @Reinaldo:

    Se estiver setado proxy transparente para a rede WiFi, vai logar somente o trafego HTTP (80) pois o redirect só vai funcionar para porta 80. Para fazer proxy transparente para HTTPS(443) precisa de instalar o certificado em cada cliente "para mim isso não é transparente".

    Eu gostaria de saber se adquirir um certificado assinado de uma raiz confiável não necessitaria de instalar o certificado nos clientes. Já pesquisei sobre isso e também perguntei aqui no fórum mas não obtive resposta.

    Instalar Certificado no cliente é mais trabalhoso que configurar o proxy, pois a configuração pode ser feita através de WPAD ou através de GPO.

    Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?

    Sim resolve seu problema, basta você adquirir.
    https://www.certisign.com.br/certificado-servidor/ssl



  • Não sei se me expressei corretamente, mas na aba do squid do pfsente ele não aceita eu configurar proxy pela 3128 pela LAN e marcar a opcao transparente e selecionar a LANWIFI.
    O que preciso saber se tem alguma opção nas configuracoes do squid que ele possa gravar os acessos das duas redes, 3128 saindo pela rede 192.168.0.0/24 e 80 saindo pela rede 10.10.0.0/24. A primeira para rede cabeada, funcionarios e a segunda para o access point liberado para os clientes com captive portal.
    Gostaria apenas que o squid registrasse o acesso das duas redes.
    É possível?



  • Geraldo, acho que esta fazendo confusão, pois o que vc precisa é tranquilo. tem uma configuração para o proxy(squid) e a configuração de proxy transparente é separada), pois o proxy transparante é somente um redirect da porta 80 para a porta 3128.

    Para exemplificar estou colocando duas imagens, uma como a configuração do proxy e a outra com a configuração do proxy transparente para http. Para HTTPS (443) precisa de um certificado para o servidor.

    ![Configuração Proxy.png](/public/imported_attachments/1/Configuração Proxy.png)
    ![Configuração Proxy.png_thumb](/public/imported_attachments/1/Configuração Proxy.png_thumb)
    ![Proxy Transparente.png](/public/imported_attachments/1/Proxy Transparente.png)
    ![Proxy Transparente.png_thumb](/public/imported_attachments/1/Proxy Transparente.png_thumb)



  • @guitarcleiton:

    @Reinaldo:

    Se estiver setado proxy transparente para a rede WiFi, vai logar somente o trafego HTTP (80) pois o redirect só vai funcionar para porta 80. Para fazer proxy transparente para HTTPS(443) precisa de instalar o certificado em cada cliente "para mim isso não é transparente".

    Eu gostaria de saber se adquirir um certificado assinado de uma raiz confiável não necessitaria de instalar o certificado nos clientes. Já pesquisei sobre isso e também perguntei aqui no fórum mas não obtive resposta.

    Instalar Certificado no cliente é mais trabalhoso que configurar o proxy, pois a configuração pode ser feita através de WPAD ou através de GPO.

    Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?

    Sim resolve seu problema, basta você adquirir.
    https://www.certisign.com.br/certificado-servidor/ssl

    Sabe dizer se os dispositivos móveis tbm aceitariam o certificado Válido automaticamente?



  • @pliniofelipe:

    Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?

    Não, não resolve. O squid precisa de uma CA válida. Não de um certificado de servidor.