[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Cara, parabéns pelo tutorial, só uma dúvida, não está sendo feito nenhum tipo de bloqueio das portas 80 e 443, então se o usuário optar por navegar sem proxy, vai passar normalmente, certo?
-
Cara, parabéns pelo tutorial, só uma dúvida, não está sendo feito nenhum tipo de bloqueio das portas 80 e 443, então se o usuário optar por navegar sem proxy, vai passar normalmente, certo?
Teoricamente, sim.
Mas como o proxy está amarrado pelo DHCP e DNS (não setado no navegador), não tem pra onde ele fugir**.
** A não ser que o ip seja setado manualmente, com DNS do google por exemplo. Mas estas configurações, você consegue bloquear.
-
Na verdade, por exemplo no Firefox, é só marcar a opção "Sem proxy". Minha sugestão, bloqueie o acesso das portas 80 e 443 externo e libere apenas a porta 80 para rede local, ai o arquivo WPAD será servido e ninguém irá trafegar sem ele. Segue exemplo:
-
brunok,
Parabéns pelo belo tutorial. Talvez tu queira adicionar um pequeno adendo ao teu tutorial. A questão de deixar a Default access [all] em allow, pois por padrão vem em deny. Para os usuários com maior experiencia talvez essa mudança seja trivial, mas para usuários com pouca experiencia possa ser uma dificuldade em saber o porque esta tudo bloqueado.
Mais uma vez, obrigado pelo conhecimento disseminado. :D
-
Bruno,
Novamente parabenizo-lhe pelo tutorial!
Fiz aqui, funcionou tudo certo! wpad sendo entregue e bloqueios acontecendo..Porém uma dúvida: na máquina que estou usando para testes, se eu desabilito a opção 'detectar automaticamente' nas configurações de conexão os bloqueios deixam de acontecer…. :-\
Está correto? Haveria algum modo de, caso a máquina não esteja passando pelo proxy, rejeitar todos os pacotes dela para 80 e 443?
Agradeço novamente! :D
-
Bruno,
Novamente parabenizo-lhe pelo tutorial!
Fiz aqui, funcionou tudo certo! wpad sendo entregue e bloqueios acontecendo..Porém uma dúvida: na máquina que estou usando para testes, se eu desabilito a opção 'detectar automaticamente' nas configurações de conexão os bloqueios deixam de acontecer…. :-\
Está correto? Haveria algum modo de, caso a máquina não esteja passando pelo proxy, rejeitar todos os pacotes dela para 80 e 443?
Agradeço novamente! :D
Posted by: itsl3v1s: https://forum.pfsense.org/index.php?topic=118346.msg675496#msg675496
-
Na verdade, por exemplo no Firefox, é só marcar a opção "Sem proxy". Minha sugestão, bloqueie o acesso das portas 80 e 443 externo e libere apenas a porta 80 para rede local, ai o arquivo WPAD será servido e ninguém irá trafegar sem ele. Segue exemplo:
itsl3v1s,
Obrigado pela pronta resposta! Nem tinha visto sua postagem acima da minha..
Mas, por favor, me tire uma dúvida: na sua regra nº2 teoricamente você está permitindo acesso total ao seu firewall de qualquer origem/porta certo?
Isto não representaria uma boa brecha de segurança? -
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
-
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
[/quote]Tenta da forma abaixo.
Squid Proxy Server > General > Bypass Proxy for These Source IPs: 192.168.7.0/24;192.168.7.1; (os ips são exemplos) kkk
-
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
[/quote]Tenta da forma abaixo.
Squid Proxy Server > General > Bypass Proxy for These Source IPs: 192.168.7.0/24;192.168.7.1; (os ips são exemplos) kkk
Amigo, obrigado pela dica mas infelizmente não é possível… Só dá para aplicar este campo caso o squid estivesse em modo transparente..
"Applies only to transparent mode" :-\
-
Pessoal, só pra repassar um report à todos:
Consegui fazer a liberação por faixa de IPs através do SquidGuard Proxy Filter > Groups ACLSinceramente, não sei o que de fato havia feito antes que agora fiz de novo e funcionou.. Mas, enfim, funcionou! hahaha
Um dos detalhes é que selecionei um-a-um como whitelist na 'Target Rule List' testei em bancada com 3 computadores, sendo um deles com IP fixado por MAC Adress dentro da faixa de liberação e funcionou certinho!Novamente obrigado e sucesso à todos! :)
-
Ola
Fiz todos os procedimentos conforme mencionado, inclusive troquei a porta do WebGUI para 9443…
Os sites http estão redirecionando para a página de erro, mas não tem jeito de funcionar os sites https.
Obs: uso o pfSense 2.3.3 integrado ao ad com script pf2ad.
Obrigado desde já, abraços.
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\
Eu tinha entendido que era para funcionar…. inclusive neste outro tópico dizem que é para funcionar. Mas devem ter se equivocado..
https://forum.pfsense.org/index.php?topic=115653.msg648370#msg648370
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\
Eu tinha entendido que era para funcionar…. inclusive neste outro tópico dizem que é para funcionar. Mas devem ter se equivocado..
https://forum.pfsense.org/index.php?topic=115653.msg648370#msg648370
Ahhh, desculpe, esqueci de agradecer o retorno… Abraço
-
Prezado Brunok, parabéns pelo tutorial, ótima sistematização, 100% funcional no ambiente de testes, versão 2.3.4.
Gostaria de lhe pedir uma orientação se possível, o cenário configurado é de uma interface wan e uma lan, porém eu gostaria de configurar com mais de uma lan. Neste caso você sabe quais alterações preciso fazer?
Desde já agradeço.
-
Brunok, excelente trabalho. Fixei na parte de tutoriais.
Penso também em transformar a parte do wpad em um pacote não oficial. Desta forma, facilitaria a configuração para quem não é tão acostumado com configurações via console/ssh.
-
Primeira versão do pacote wpad já está no repositório.
Isso reduz bastante a quantidade de alterações e configurações de arquivos. 8)
Brunok, se achar interessante, podemos alterar o primeiro post incluindo a instalação do pacote e configuração via interface web desta parte.
-
brunok,
Bom dia meu amigo!
Primeiramente parabéns pala iniciativa, pelo ótimo tutorial!estou em um ambiente de teste fazendo o procedimento do seu tuto, e no momento de fazer o teste da segunda instancia ele não apresenta a pagina do nginx.
ao tentar executar o script manual, ele me da este erro:
nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24
Segui todo o procedimento a risca.
abraço
Diego
-
Diego, instala o pacote WPAD que disponibilizei. Ele faz a configuração da segunda instância do nginx pra você.
