Squid com proxy transparente e não transparente ativos , é possível?
-
Boa noite a todos!
O meu layout de rede que estou testando em uma VM são DUAS WANS e DUAS LANS.
Gostaria de saber se posso configurar o squid para usar o proxy transparente em uma LAN e o não transparente na outra LAN.
A razão é que uma vai servir wifi aos clientes sendo interessante que fosse transparente, e a outra rede será utilizada pelos funcionários da empresa. Preciso pegar os logs das duas redes por motivo de segurança.
Estou utilizando o LogSquid de forma experimental. Consigo pegar o acesso das duas redes, mas sendo as duas nao transparente ou as duas transparente. Diferente não consegui.
Será que é possível?
Obrigado desde já.At.
Gerardo Coelho -
Sim vc consegue ativar o proxy nas duas redes e ativar o transparente na rede WiFi. O problema é que o transparente para HTTPS precisa de um certificado para interceptar os pacotes e para funcionar terá que instalar o certificado nos clientes, inviável para uma rede wifi.
Pode distribuir o proxy através de WPAD, mas os dispositivos móveis não recebe estas configurações. Desta forma teria proxy transparente somente para HTTP -
na opção geral do squid3, poso ativar o proxy ativo e transparente?
Na verdade já fiz umas regras na lan local para bloquear acesso pela porta 80 e 443, saindo apenas pela 3128 (proxy squid)
Ja na interface da lan wifi eu nao bloqueei a 80 e nem a 443, sendo possivel navegar.
A minha dúvida é se na aba geral do squid3 eu posso ativar o proxy transparente para a LAN wifi e o proxy ativo para LAN (local). São duas placas de rede. Nao tentei porque penso que se eu marcar proxy transparente ele desabilita o proxy ativo pela 3128. -
FERAS VAMOS SE JUNTAR E FAZER ISSO FUNCIONAR EU TO USANDO O PFSENSE 2.2.6
CRIEI ESTE POST https://forum.pfsense.org/index.php?topic=114236.0
A TURMA ESTA NA BATALHA, TEM A MESMA LOGICA QUE VC ACHO.
-
na opção geral do squid3, poso ativar o proxy ativo e transparente?
Na verdade já fiz umas regras na lan local para bloquear acesso pela porta 80 e 443, saindo apenas pela 3128 (proxy squid)
Ja na interface da lan wifi eu nao bloqueei a 80 e nem a 443, sendo possivel navegar.
A minha dúvida é se na aba geral do squid3 eu posso ativar o proxy transparente para a LAN wifi e o proxy ativo para LAN (local). São duas placas de rede. Nao tentei porque penso que se eu marcar proxy transparente ele desabilita o proxy ativo pela 3128.O unico problema é ser vai usar proxy autenticado. Se for autenticado não tem como ser transparente. Senão for autenticado pode testar que vai funcionar normalmente, pois na realidade o proxy transparente ou não responde a porta 3128, quando vc ativa transparente ele cria um redirecionamento que tudo que vem na porta 80 é encaminhado para a porta 3128, desta forma pode usar transparente e ativo sem problema nenhum. O problema seria só no caso de autenticado.
-
Reinaldo Feitosa se junta a nos neste post
https://forum.pfsense.org/index.php?topic=114718.new;topicseen#new
-
Ativei as duas interfaces LAN(proxy ativo pela 3128 com bloqueio no firewall das portas 80 e 443) e LAnWifi navegando pela porta 80.
O problema é que se eu nao configurar a LANWIFI saindo pela porta 3128 o squid não registra os logs.
Tem como o squid monitorar os logs da 80 e 3128?
A questão da autenticação, no wifi uso o captive portal.
Alguma luz? -
Se estiver setado proxy transparente para a rede WiFi, vai logar somente o trafego HTTP (80) pois o redirect só vai funcionar para porta 80. Para fazer proxy transparente para HTTPS(443) precisa de instalar o certificado em cada cliente "para mim isso não é transparente".
Eu gostaria de saber se adquirir um certificado assinado de uma raiz confiável não necessitaria de instalar o certificado nos clientes. Já pesquisei sobre isso e também perguntei aqui no fórum mas não obtive resposta.
Instalar Certificado no cliente é mais trabalhoso que configurar o proxy, pois a configuração pode ser feita através de WPAD ou através de GPO.
Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?
-
Se estiver setado proxy transparente para a rede WiFi, vai logar somente o trafego HTTP (80) pois o redirect só vai funcionar para porta 80. Para fazer proxy transparente para HTTPS(443) precisa de instalar o certificado em cada cliente "para mim isso não é transparente".
Eu gostaria de saber se adquirir um certificado assinado de uma raiz confiável não necessitaria de instalar o certificado nos clientes. Já pesquisei sobre isso e também perguntei aqui no fórum mas não obtive resposta.
Instalar Certificado no cliente é mais trabalhoso que configurar o proxy, pois a configuração pode ser feita através de WPAD ou através de GPO.
Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?
Sim resolve seu problema, basta você adquirir.
https://www.certisign.com.br/certificado-servidor/ssl -
Não sei se me expressei corretamente, mas na aba do squid do pfsente ele não aceita eu configurar proxy pela 3128 pela LAN e marcar a opcao transparente e selecionar a LANWIFI.
O que preciso saber se tem alguma opção nas configuracoes do squid que ele possa gravar os acessos das duas redes, 3128 saindo pela rede 192.168.0.0/24 e 80 saindo pela rede 10.10.0.0/24. A primeira para rede cabeada, funcionarios e a segunda para o access point liberado para os clientes com captive portal.
Gostaria apenas que o squid registrasse o acesso das duas redes.
É possível? -
Geraldo, acho que esta fazendo confusão, pois o que vc precisa é tranquilo. tem uma configuração para o proxy(squid) e a configuração de proxy transparente é separada), pois o proxy transparante é somente um redirect da porta 80 para a porta 3128.
Para exemplificar estou colocando duas imagens, uma como a configuração do proxy e a outra com a configuração do proxy transparente para http. Para HTTPS (443) precisa de um certificado para o servidor.
 -
Se estiver setado proxy transparente para a rede WiFi, vai logar somente o trafego HTTP (80) pois o redirect só vai funcionar para porta 80. Para fazer proxy transparente para HTTPS(443) precisa de instalar o certificado em cada cliente "para mim isso não é transparente".
Eu gostaria de saber se adquirir um certificado assinado de uma raiz confiável não necessitaria de instalar o certificado nos clientes. Já pesquisei sobre isso e também perguntei aqui no fórum mas não obtive resposta.
Instalar Certificado no cliente é mais trabalhoso que configurar o proxy, pois a configuração pode ser feita através de WPAD ou através de GPO.
Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?
Sim resolve seu problema, basta você adquirir.
https://www.certisign.com.br/certificado-servidor/sslSabe dizer se os dispositivos móveis tbm aceitariam o certificado Válido automaticamente?
-
Alguém sabe se eu adquirir um certificado para servidores, resolveria este problema de ter que instalar o certificado?
Não, não resolve. O squid precisa de uma CA válida. Não de um certificado de servidor.
