[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%
-
Na verdade, por exemplo no Firefox, é só marcar a opção "Sem proxy". Minha sugestão, bloqueie o acesso das portas 80 e 443 externo e libere apenas a porta 80 para rede local, ai o arquivo WPAD será servido e ninguém irá trafegar sem ele. Segue exemplo:
itsl3v1s,
Obrigado pela pronta resposta! Nem tinha visto sua postagem acima da minha..
Mas, por favor, me tire uma dúvida: na sua regra nº2 teoricamente você está permitindo acesso total ao seu firewall de qualquer origem/porta certo?
Isto não representaria uma boa brecha de segurança? -
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
-
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
[/quote]Tenta da forma abaixo.
Squid Proxy Server > General > Bypass Proxy for These Source IPs: 192.168.7.0/24;192.168.7.1; (os ips são exemplos) kkk
-
itsl3v1s, usei sua dica porém deixei a origem como LAN Net para garantir… deu certo! mais uma vez obrigado :D
Agora, senhores, outra questão:
Alguém ai pode me dar um auxílio para criar uma faixa de IPs liberados? No cenário ao qual implantarei, terei alguns computadores (da diretoria) que precisarão de liberação total para navegação (ou tipo um bypass no proxy)Confesso que já tentei liberar direto todas as portas para determinados IPs pelo Firewall > Regras > LAN...
Já tentei também lá em SquidGuard Proxy Filter > Groups ACL deixar determinado range e marcar as Target Rule List como 'whitelist' mas também não consegui....Alguém tem alguma luz? :-[
[/quote]Tenta da forma abaixo.
Squid Proxy Server > General > Bypass Proxy for These Source IPs: 192.168.7.0/24;192.168.7.1; (os ips são exemplos) kkk
Amigo, obrigado pela dica mas infelizmente não é possível… Só dá para aplicar este campo caso o squid estivesse em modo transparente..
"Applies only to transparent mode" :-\
-
Pessoal, só pra repassar um report à todos:
Consegui fazer a liberação por faixa de IPs através do SquidGuard Proxy Filter > Groups ACLSinceramente, não sei o que de fato havia feito antes que agora fiz de novo e funcionou.. Mas, enfim, funcionou! hahaha
Um dos detalhes é que selecionei um-a-um como whitelist na 'Target Rule List' testei em bancada com 3 computadores, sendo um deles com IP fixado por MAC Adress dentro da faixa de liberação e funcionou certinho!Novamente obrigado e sucesso à todos! :)
-
Ola
Fiz todos os procedimentos conforme mencionado, inclusive troquei a porta do WebGUI para 9443…
Os sites http estão redirecionando para a página de erro, mas não tem jeito de funcionar os sites https.
Obs: uso o pfSense 2.3.3 integrado ao ad com script pf2ad.
Obrigado desde já, abraços.
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\
Eu tinha entendido que era para funcionar…. inclusive neste outro tópico dizem que é para funcionar. Mas devem ter se equivocado..
https://forum.pfsense.org/index.php?topic=115653.msg648370#msg648370
-
Boa tarde,
O redirecionamento não funciona para sites HTTPS. :-\
Eu tinha entendido que era para funcionar…. inclusive neste outro tópico dizem que é para funcionar. Mas devem ter se equivocado..
https://forum.pfsense.org/index.php?topic=115653.msg648370#msg648370
Ahhh, desculpe, esqueci de agradecer o retorno… Abraço
-
Prezado Brunok, parabéns pelo tutorial, ótima sistematização, 100% funcional no ambiente de testes, versão 2.3.4.
Gostaria de lhe pedir uma orientação se possível, o cenário configurado é de uma interface wan e uma lan, porém eu gostaria de configurar com mais de uma lan. Neste caso você sabe quais alterações preciso fazer?
Desde já agradeço.
-
Brunok, excelente trabalho. Fixei na parte de tutoriais.
Penso também em transformar a parte do wpad em um pacote não oficial. Desta forma, facilitaria a configuração para quem não é tão acostumado com configurações via console/ssh.
-
Primeira versão do pacote wpad já está no repositório.
Isso reduz bastante a quantidade de alterações e configurações de arquivos. 8)
Brunok, se achar interessante, podemos alterar o primeiro post incluindo a instalação do pacote e configuração via interface web desta parte.
-
brunok,
Bom dia meu amigo!
Primeiramente parabéns pala iniciativa, pelo ótimo tutorial!estou em um ambiente de teste fazendo o procedimento do seu tuto, e no momento de fazer o teste da segunda instancia ele não apresenta a pagina do nginx.
ao tentar executar o script manual, ele me da este erro:
nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24
Segui todo o procedimento a risca.
abraço
Diego
-
Diego, instala o pacote WPAD que disponibilizei. Ele faz a configuração da segunda instância do nginx pra você.
-
Marcelo,
Bom dia!
Tentei das duas formas com uma instalação limpa do pfsense, e apresentaram o mesmo erro.
abraço
-
Na versao:
2.3.3-p1
Funcionou legal com o pacote!
bruno e Marcelo, paranebs novamente!
[DESCULPE CONFUSAO, A PLACA ESTA DO VIRTUALBOX ESTAVA EM NAT]
nesta versao tambem aparece o mesmo erro:
nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24
-
Prezado Brunok, parabéns pelo tutorial, ótima sistematização, 100% funcional no ambiente de testes, versão 2.3.4.
Gostaria de lhe pedir uma orientação se possível, o cenário configurado é de uma interface wan e uma lan, porém eu gostaria de configurar com mais de uma lan. Neste caso você sabe quais alterações preciso fazer?
Desde já agradeço.
Que bom que funcionou também na versão mais recente! Ainda não testei na 2.3.4.
Bom, quanto ao número de subredes, não tem problemas, basta na configuração do SQUID, você marcar as outras interfaces pertinentes a estas redes.
-
Primeira versão do pacote wpad já está no repositório.
Isso reduz bastante a quantidade de alterações e configurações de arquivos. 8)
Brunok, se achar interessante, podemos alterar o primeiro post incluindo a instalação do pacote e configuração via interface web desta parte.
Agora que vi o link do pacote… Vou validar aqui num ambiente CLEAN.
-
Na versao:
2.3.3-p1
Funcionou legal com o pacote!
bruno e Marcelo, paranebs novamente!
[DESCULPE CONFUSAO, A PLACA ESTA DO VIRTUALBOX ESTAVA EM NAT]
nesta versao tambem aparece o mesmo erro:
nginx: [emerg] unknown directive "a" in /usr/local/etc/nginx/nginx2.conf:24
Diego, poste aqui o seu nginx2.conf para análise.
-
# nginx configuration file worker_processes 1; events { worker_connections 1024; } http { include /usr/local/etc/nginx/mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; server { listen 192.168.1.1; server_name wpad.localdomain server name 127.0.0.1 client_max_body_size 200m; root "/usr/local/www/nginx-dist/"; location ~ \.php$ { try_files $uri =404; # This line closes a potential security hole fastcgi_pass unix:/var/run/php-fpm.socket; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_read_timeout 180; include /usr/local/etc/nginx/fastcgi_params; } } }So copiei e colei ???
