(RESOLVIDO)PROXY ATIVO - ERRO DE AUTENTICAÇÃO EM ALGUNS SITES



  • Boa Tarde, Galera!

    Primeiramente obrigado por todas as dicas que venho coletando no site. Estão me ajudando bastante na resolução de alguns problemas.

    Galera estou com o seguinte problema.

    Criei um cenário para validar algumas configurações que preciso aplicar no servidor de produção. Atualmente, estou utilizando um servidor Proxy Ativo + SQUID + Autenticação por Usuário Local. está me atendendo muito bem minha necessidade. Porém, alguns sites estão apresentando falhas na autenticação. Um bom exemplo que estou percebendo são sites de banco. Quando tento acesso apresento o erro da página do Proxy. Como em anexo.

    Quando aperto F5, abre normalmente e consigo fazer as transações normalmente. Porém isso está acontecendo toda vez.
    Eu aumentei a taxa de cache pois imaginei que fosse esse o problema mais ainda continua. (VIDE EM ANEXO)

    Alguém poderia me ajudar por favor?

    Não estou conseguindo achar o problema.

    Em anexo segue minhas configurações.
    ![Erro Banco.png](/public/imported_attachments/1/Erro Banco.png)
    ![Erro Banco.png_thumb](/public/imported_attachments/1/Erro Banco.png_thumb)







  • O problema é simples, o teu pfsense está se confundindo com suas regras de block e pass. Tu já tentou pegar os range de IP dos banco criar uma aliase e coloca no seu squid?



  • @danilosv.03:

    O problema é simples, o teu pfsense está se confundindo com suas regras de block e pass. Tu já tentou pegar os range de IP dos banco criar uma aliase e coloca no seu squid?

    Bom Dia, Danilo!

    Desde já, agradeço sua ajuda.

    Eu sou um pouco novo ainda no pfsense. Quando você diz que ele está confundindo, O que seria exatamente?
    No caso, o Alias que consta nas regras, eu distribui nos grupos do SQUID conforme a necessidade do Setor. Não sei bem se você está me perguntando isso, mas basicamente fiz dessa maneira.

    No caso as regras funcionam de cima para baixo certo?

    Eu pensei em criar dessa forma onde todos os endereços que constarem no Alias, teriam as portas 80 e 443 abertas para navegação. Os demais endereços, seriam bloqueados pelas regras abaixo das liberações.

    Meu pensamento foi o seguinte.

    1. Liberar as portas 80 e 443 para os endereços que constam no Alias com Limitador de banda.
    2. Liberar as portas 80 e 443 para os endereços com acesso total se restrição de banda.
    3. Os endereços que não constarem no Alias, cairiam diretamente nas regras que rejeitam o 443 e bloqueia a porta 80.

    Não sei se montei certo….

    Você poderia me dar uma dica por favor?

    Obrigado novamente pela ajuda.

    Att,

    Ricardo
    Analista de Suporte II



  • @ricardo.duarte:

    @danilosv.03:

    O problema é simples, o teu pfsense está se confundindo com suas regras de block e pass. Tu já tentou pegar os range de IP dos banco criar uma aliase e coloca no seu squid?

    Bom Dia, Danilo!

    Desde já, agradeço sua ajuda.

    Eu sou um pouco novo ainda no pfsense. Quando você diz que ele está confundindo, O que seria exatamente?
    No caso, o Alias que consta nas regras, eu distribui nos grupos do SQUID conforme a necessidade do Setor. Não sei bem se você está me perguntando isso, mas basicamente fiz dessa maneira.

    No caso as regras funcionam de cima para baixo certo?

    Eu pensei em criar dessa forma onde todos os endereços que constarem no Alias, teriam as portas 80 e 443 abertas para navegação. Os demais endereços, seriam bloqueados pelas regras abaixo das liberações.

    Meu pensamento foi o seguinte.

    1. Liberar as portas 80 e 443 para os endereços que constam no Alias com Limitador de banda.
    2. Liberar as portas 80 e 443 para os endereços com acesso total se restrição de banda.
    3. Os endereços que não constarem no Alias, cairiam diretamente nas regras que rejeitam o 443 e bloqueia a porta 80.

    Não sei se montei certo….

    Você poderia me dar uma dica por favor?

    Obrigado novamente pela ajuda.

    Att,

    Ricardo
    Analista de Suporte II

    Sim,
    Ele ler as  regras de cima pra baixo.

    1) Liberar as portas 80 e 443 para os endereços que constam no Alias com Limitador de banda.
    R: Nesse caso o seu Pfsense não estaria limitando todos os seus ranger de IP? Nesse caso acredito que não haveria ncessidade de você criar esta regra
    2) Liberar as portas 80 e 443 para os endereços com acesso total se restrição de banda.
    R: Neste caso seria uma boa, pois ai você estaria apontando quem exatamente teria acesso sem restrição de suas regras/configurações
    3) Os endereços que não constarem no Alias, cairiam diretamente nas regras que rejeitam o 443 e bloqueia a porta 80.
    R: Esta regra é a mesma regra da Primeira que você apontou, por isso disse que não haveria necessidade de criar-las



  • @danilosv.03:

    @ricardo.duarte:

    @danilosv.03:

    O problema é simples, o teu pfsense está se confundindo com suas regras de block e pass. Tu já tentou pegar os range de IP dos banco criar uma aliase e coloca no seu squid?

    Bom Dia, Danilo!

    Desde já, agradeço sua ajuda.

    Eu sou um pouco novo ainda no pfsense. Quando você diz que ele está confundindo, O que seria exatamente?
    No caso, o Alias que consta nas regras, eu distribui nos grupos do SQUID conforme a necessidade do Setor. Não sei bem se você está me perguntando isso, mas basicamente fiz dessa maneira.

    No caso as regras funcionam de cima para baixo certo?

    Eu pensei em criar dessa forma onde todos os endereços que constarem no Alias, teriam as portas 80 e 443 abertas para navegação. Os demais endereços, seriam bloqueados pelas regras abaixo das liberações.

    Meu pensamento foi o seguinte.

    1. Liberar as portas 80 e 443 para os endereços que constam no Alias com Limitador de banda.
    2. Liberar as portas 80 e 443 para os endereços com acesso total se restrição de banda.
    3. Os endereços que não constarem no Alias, cairiam diretamente nas regras que rejeitam o 443 e bloqueia a porta 80.

    Não sei se montei certo….

    Você poderia me dar uma dica por favor?

    Obrigado novamente pela ajuda.

    Att,

    Ricardo
    Analista de Suporte II

    Sim,
    Ele ler as  regras de cima pra baixo.

    1) Liberar as portas 80 e 443 para os endereços que constam no Alias com Limitador de banda.
    R: Nesse caso o seu Pfsense não estaria limitando todos os seus ranger de IP? Nesse caso acredito que não haveria ncessidade de você criar esta regra
    2) Liberar as portas 80 e 443 para os endereços com acesso total se restrição de banda.
    R: Neste caso seria uma boa, pois ai você estaria apontando quem exatamente teria acesso sem restrição de suas regras/configurações
    3) Os endereços que não constarem no Alias, cairiam diretamente nas regras que rejeitam o 443 e bloqueia a porta 80.
    R: Esta regra é a mesma regra da Primeira que você apontou, por isso disse que não haveria necessidade de criar-las

    Danilo

    Estou começando a entender…

    Apenas estou com a seguinte dúvida.


    Dúvida: Para que um determinado endereço não seja liberado acesso, não existe a necessidade de criar um regra para bloqueio.? Tipo se o endereço não estiver no Alias, que libera uma determinada porta e não constar no Squid, ele não será liberado o acesso?

    Isso sem a regra que bloqueia tudo?
    –---------------------------------------------------------------------------------------------------------------------------------------------------------------------

    No caso, aqui no meu cenário, não são todas as maquinas que possuem internet seria apenas algumas maquinas. Porém, foi solicitado pela Diretoria que houve-se uma limitação para determinados endereços e alguns teriam a largura de banda total.

    Nisso eu fiz da seguinte forma, no Alias LIBCOMLIMITER, coloquei apenas os endereços que possuem acesso a Internet e precisam ter uma limitação da largura de banda. Após isso coloquei em seu grupo correspondente no SQUID.

    Na outra regra LIBTOTAL, ela teria a liberação total sem o Limitador da largura de banda e após isso colocaria no grupo correspondente do SQUID.

    Att,



  • Dúvida: Para que um determinado endereço não seja liberado acesso, não existe a necessidade de criar um regra para bloqueio.? Tipo se o endereço não estiver no Alias, que libera uma determinada porta e não constar no Squid, ele não será liberado o acesso?
    R: quando você cria a regra como default, ela já vale pra toda sua rede.

    **No caso, aqui no meu cenário, não são todas as maquinas que possuem internet seria apenas algumas maquinas. Porém, foi solicitado pela Diretoria que houve-se uma limitação para determinados endereços e alguns teriam a largura de banda total.

    Nisso eu fiz da seguinte forma, no Alias LIBCOMLIMITER, coloquei apenas os endereços que possuem acesso a Internet e precisam ter uma limitação da largura de banda. Após isso coloquei em seu grupo correspondente no SQUID.

    Na outra regra LIBTOTAL, ela teria a liberação total sem o Limitador da largura de banda e após isso colocaria no grupo correspondente do SQUID.**

    R: Neste caso sua regra é valida.



  • @danilosv.03:

    Dúvida: Para que um determinado endereço não seja liberado acesso, não existe a necessidade de criar um regra para bloqueio.? Tipo se o endereço não estiver no Alias, que libera uma determinada porta e não constar no Squid, ele não será liberado o acesso?
    R: quando você cria a regra como default, ela já vale pra toda sua rede.

    **No caso, aqui no meu cenário, não são todas as maquinas que possuem internet seria apenas algumas maquinas. Porém, foi solicitado pela Diretoria que houve-se uma limitação para determinados endereços e alguns teriam a largura de banda total.

    Nisso eu fiz da seguinte forma, no Alias LIBCOMLIMITER, coloquei apenas os endereços que possuem acesso a Internet e precisam ter uma limitação da largura de banda. Após isso coloquei em seu grupo correspondente no SQUID.

    Na outra regra LIBTOTAL, ela teria a liberação total sem o Limitador da largura de banda e após isso colocaria no grupo correspondente do SQUID.**

    R: Neste caso sua regra é valida.

    Danilo.

    Muito obrigado pela ajuda.

    Agora estou começando a entender mais…..

    Vou fazer os testes no Servidor de Teste e depois retorno com o resultado.

    Obrigado por enquanto.

    Att,



  • @ricardo.duarte:

    @danilosv.03:

    Dúvida: Para que um determinado endereço não seja liberado acesso, não existe a necessidade de criar um regra para bloqueio.? Tipo se o endereço não estiver no Alias, que libera uma determinada porta e não constar no Squid, ele não será liberado o acesso?
    R: quando você cria a regra como default, ela já vale pra toda sua rede.

    **No caso, aqui no meu cenário, não são todas as maquinas que possuem internet seria apenas algumas maquinas. Porém, foi solicitado pela Diretoria que houve-se uma limitação para determinados endereços e alguns teriam a largura de banda total.

    Nisso eu fiz da seguinte forma, no Alias LIBCOMLIMITER, coloquei apenas os endereços que possuem acesso a Internet e precisam ter uma limitação da largura de banda. Após isso coloquei em seu grupo correspondente no SQUID.

    Na outra regra LIBTOTAL, ela teria a liberação total sem o Limitador da largura de banda e após isso colocaria no grupo correspondente do SQUID.**

    R: Neste caso sua regra é valida.

    Danilo.

    Muito obrigado pela ajuda.

    Agora estou começando a entender mais…..

    Vou fazer os testes no Servidor de Teste e depois retorno com o resultado.

    Obrigado por enquanto.

    Att,

    Sempre que alguém lhe ajudar, der um thanks.



  • @danilosv.03:

    @ricardo.duarte:

    @danilosv.03:

    Dúvida: Para que um determinado endereço não seja liberado acesso, não existe a necessidade de criar um regra para bloqueio.? Tipo se o endereço não estiver no Alias, que libera uma determinada porta e não constar no Squid, ele não será liberado o acesso?
    R: quando você cria a regra como default, ela já vale pra toda sua rede.

    **No caso, aqui no meu cenário, não são todas as maquinas que possuem internet seria apenas algumas maquinas. Porém, foi solicitado pela Diretoria que houve-se uma limitação para determinados endereços e alguns teriam a largura de banda total.

    Nisso eu fiz da seguinte forma, no Alias LIBCOMLIMITER, coloquei apenas os endereços que possuem acesso a Internet e precisam ter uma limitação da largura de banda. Após isso coloquei em seu grupo correspondente no SQUID.

    Na outra regra LIBTOTAL, ela teria a liberação total sem o Limitador da largura de banda e após isso colocaria no grupo correspondente do SQUID.**

    R: Neste caso sua regra é valida.

    Danilo.

    Muito obrigado pela ajuda.

    Agora estou começando a entender mais…..

    Vou fazer os testes no Servidor de Teste e depois retorno com o resultado.

    Obrigado por enquanto.

    Att,

    Sempre que alguém lhe ajudar, der um thanks.

    Danilo,

    Realizei os testes e com relação a regra que criei a mais, realmente não havia necessidade.
    Ajustei e beleza funcionou…..

    Porém com relação a primeira vez que abre uma página e da o erro da página do SQUID, ainda continua.

    Percebi que esse erro é apenas na primeira vez. Após a primeira vez funciona normalmente.

    Será que isso seria alguma problema de cache?

    Att,



  • Tenta limpar todo o cache do navegador. Limpa o cache do Squid também  e testa.



  • @hunterjn:

    Tenta limpar todo o cache do navegador. Limpa o cache do Squid também  e testa.

    Hunterjn

    Sou um pouco novo ainda no pfsense. Isso seria via comando?



  • @ricardo.duarte:

    @hunterjn:

    Tenta limpar todo o cache do navegador. Limpa o cache do Squid também  e testa.

    Hunterjn

    Sou um pouco novo ainda no pfsense. Isso seria via comando?

    Como o seu squid ta trabalhando em sua rede?



  • @danilosv.03:

    @ricardo.duarte:

    @hunterjn:

    Tenta limpar todo o cache do navegador. Limpa o cache do Squid também  e testa.

    Hunterjn

    Sou um pouco novo ainda no pfsense. Isso seria via comando?

    Como o seu squid ta trabalhando em sua rede?

    Danilo, o meu squid está configurado dessa forma…














  • Qual a real necessidade de deixar selecionado o looback?



  • @danilosv.03:

    Qual a real necessidade de deixar selecionado o looback?

    Danilo.

    A opção marcada do loopback foi do tutorial que havia seguido explicando a utilizando do uso do Proxy Ativo.

    Até hoje, eu estava utilizando apenas o proxy transparente. Porém, não estava atendendo meu cenário.

    Localizei esse tutorial explicando como deveria ser configurado o Proxy ativo.

    O loopback para proxy ativo não deve ser utilizado?

    Aparentemente quando desmarquei, parece que resolveu.



  • @ricardo.duarte:

    @danilosv.03:

    Qual a real necessidade de deixar selecionado o looback?

    Danilo.

    A opção marcada do loopback foi do tutorial que havia seguido explicando a utilizando do uso do Proxy Ativo.

    Até hoje, eu estava utilizando apenas o proxy transparente. Porém, não estava atendendo meu cenário.

    Localizei esse tutorial explicando como deveria ser configurado o Proxy ativo.

    O loopback para proxy ativo não deve ser utilizado?

    Aparentemente quando desmarquei, parece que resolveu.

    Por isso perguntei por que a real necessidade de utilizar ele. Resolveu seu problema?



  • @danilosv.03:

    @ricardo.duarte:

    @danilosv.03:

    Qual a real necessidade de deixar selecionado o looback?

    Danilo.

    A opção marcada do loopback foi do tutorial que havia seguido explicando a utilizando do uso do Proxy Ativo.

    Até hoje, eu estava utilizando apenas o proxy transparente. Porém, não estava atendendo meu cenário.

    Localizei esse tutorial explicando como deveria ser configurado o Proxy ativo.

    O loopback para proxy ativo não deve ser utilizado?

    Aparentemente quando desmarquei, parece que resolveu.

    Por isso perguntei por que a real necessidade de utilizar ele. Resolveu seu problema?

    Danilo….

    Resolveu sim.
    Quando desmarquei o looback abriu o site normalmente.

    Muito obrigado pela ajuda.



  • @ricardo.duarte:

    @danilosv.03:

    @ricardo.duarte:

    @danilosv.03:

    Qual a real necessidade de deixar selecionado o looback?

    Danilo.

    A opção marcada do loopback foi do tutorial que havia seguido explicando a utilizando do uso do Proxy Ativo.

    Até hoje, eu estava utilizando apenas o proxy transparente. Porém, não estava atendendo meu cenário.

    Localizei esse tutorial explicando como deveria ser configurado o Proxy ativo.

    O loopback para proxy ativo não deve ser utilizado?

    Aparentemente quando desmarquei, parece que resolveu.

    Por isso perguntei por que a real necessidade de utilizar ele. Resolveu seu problema?

    Danilo….

    Resolveu sim.
    Quando desmarquei o looback abriu o site normalmente.

    Muito obrigado pela ajuda.

    É sempre bom darmos outras pesquisas sobre alguns tutoriais na internet.
    Fico muito feliz em ter ajudado.
    Der um thanks no post que te ajudou, isso facilitará na pesquisa para outras pessoas no fórum.



  • Pessoal

    - Primeiramente devo agradecer o Danilosv pela grande ajuda dentro desse tópico.

    Apenas para dar finalidade no processo. Para futuros problemas que outras pessoas possam ter, estou registrando tudo que realizei com a ajuda do Danilosv.

    Hoje de manhã além das alterações que o precisei realizar, até sexta - feira,  houve mais um site que apresentou o mesmo problema.

    Além das outras alterações que apliquei, marquei a seguinte opção.

    Logo abaixo, irei demonstrar tudo que fiz para resolver o meu problema.

    1. Modificar as regras de Bloqueio. ( No meu caso, o Danilo localizou que havia alguns problemas com minhas regras aplicadas em meu cenário. Nesse dia eu havia criado duas regras para rejeitar a porta HTTPS e bloquear a porta HTTP para os endereços que não acessavam a Internet. Como sou novo no PFSENSE, não sabia até o presente momento,  não era necessário aplicar regras que efetuassem o bloqueio para os endereços que não utiliza-se a Internet.)

    2. Havia modificado as seguintes opções no Proxy para a utilização do Proxy ativo.

    2.1) Local Cache.

    No Cache replacement policy utilizei a opção: Heap Lfuda.
    Squid Hard disk cache Settings: No Hard disk cache size: apliquei 2048
    Hard disk cache system: aufs
    Maximum object size: 5120
    Memory cache size: 512
    Maximum object size in RAM: 256

    1. Na opção General do Proxy Server marquei a seguinte opção: Resolv dns v4 first

    2. Removi as opções de bloqueio que havia criado.

    3. Desmarquei a opção de Loopback (PROXY INTERFACE) que consta na General do Proxy Server.

    Todas essas questões modifiquei junto com o Danilo e Resolveu o meu cenário aqui. No caso do meu Local Cache, apliquei conforme a necessidade que localizei dentro da empresa.

    Espero que com isso ajude que tiver o mesmo problema ou algo semelhante ao meu.

    Obrigado mais uma vez ao Danilo e ao pessoal do Fórum.

    Att,



  • Irmãozinho,
    Edita o seu primeiro post como:: Finalizado.