Proxy sem autenticacao (RESOLVIDO)



  • boa tarde tenho o proxy sem autenticacao funcionado certinho mas surgiu uma duvida com celular como ele se comporta os bloqueios do site vao funcionar neles?



  • A principio irá bloquear apenas sites http. Já testou?



  • ja mas queria tambem bloquear https e principalmente deixar só pra navegar e bloquear todo tipo de download tem alguma ideia como eu poderia fazer isso?



  • @tiagomaximo82:

    ja mas queria tambem bloquear https e principalmente deixar só pra navegar e bloquear todo tipo de download tem alguma ideia como eu poderia fazer isso?

    Pra bloquear https tu vai ter que colocar proxy transparente e configurar em cada dispositivo o proxy.



  • @empbilly:

    Pra bloquear https tu vai ter que colocar proxy transparente e configurar em cada dispositivo o proxy.

    Ou uma coisa ou outra. Se vai ser transparente é para não configurar proxy nos dispositivos.

    Para bloquear HTTPS nos dispositivos terá que informar manualmente o proxy, ou testar a nova forma de fazer transparente sem uso de certificado, com a opção Splice All. É recurso novo, ainda precisa testar mas parece bem promissor.



  • .    Para bloquear HTTPS nos dispositivos terá que informar manualmente o proxy, ou testar a nova forma de fazer transparente sem uso de certificado, com a opção Splice All. É recurso novo, ainda precisa testar mas parece bem promissor.

    Essa opção está na versão Beta do squid?



  • Da para bloquear HTTPS com o proxy transparentes e sem uso de SSL.

    Uma vez eu fiz isso em meu cliente e rodou 100%.

    Fiz através do Firewall>>Regras.

    Criei 3 Aliases.

    • *Lista de IPs da minha rede que tem acesso FULL a 443

    • *Lista de IPs de Sites que usar 443 (EX: sites de bancos/ email…etc)

    • *Bloqueio da porta 443

    A partir dessas regras eu conseguia bloquear os HTTPS.

    Unica problema, é que as vezes os bancos mudam seu IP, ai vc tem que adicionar o IP na ALIASES.



  • @empbilly:

    .    Para bloquear HTTPS nos dispositivos terá que informar manualmente o proxy, ou testar a nova forma de fazer transparente sem uso de certificado, com a opção Splice All. É recurso novo, ainda precisa testar mas parece bem promissor.

    Essa opção está na versão Beta do squid?

    Não, olhe lá, atualize para a última versão do Squid.



  • @andrezaomac:

    Da para bloquear HTTPS com o proxy transparentes e sem uso de SSL.

    Uma vez eu fiz isso em meu cliente e rodou 100%.

    Fiz através do Firewall>>Regras.

    Criei 3 Aliases.

    • *Lista de IPs da minha rede que tem acesso FULL a 443

    • *Lista de IPs de Sites que usar 443 (EX: sites de bancos/ email…etc)

    • *Bloqueio da porta 443

    A partir dessas regras eu conseguia bloquear os HTTPS.

    Unica problema, é que as vezes os bancos mudam seu IP, ai vc tem que adicionar o IP na ALIASES.

    Isso é inviável!



  • @Tomas:

    @empbilly:

    .    Para bloquear HTTPS nos dispositivos terá que informar manualmente o proxy, ou testar a nova forma de fazer transparente sem uso de certificado, com a opção Splice All. É recurso novo, ainda precisa testar mas parece bem promissor.

    Essa opção está na versão Beta do squid?

    Não, olhe lá, atualize para a última versão do Squid.

    Bacana! Vou testar! :D



  • @Tomas:

    @andrezaomac:

    Da para bloquear HTTPS com o proxy transparentes e sem uso de SSL.

    Uma vez eu fiz isso em meu cliente e rodou 100%.

    Fiz através do Firewall>>Regras.

    Criei 3 Aliases.

    • *Lista de IPs da minha rede que tem acesso FULL a 443

    • *Lista de IPs de Sites que usar 443 (EX: sites de bancos/ email…etc)

    • *Bloqueio da porta 443

    A partir dessas regras eu conseguia bloquear os HTTPS.

    Unica problema, é que as vezes os bancos mudam seu IP, ai vc tem que adicionar o IP na ALIASES.

    Isso é inviável!

    Pode ser inviável para o caso dele, mas funciona!



  • amigo acho mais viavel esse mesmo que vc me falou das regras

    nao sei se te falei mas quem vai conectar nessas redes seriam celulares

    daria certo eu fazendo estas regras que vc mencionou?



  • depois de muito custo deu tudo certo agradeço a todos!

    a opcao de splice All recomendo a todos a testarem no meu caso foi de grande valia!

    a do amigo que mencionou das rules caso essa nao desse certo seria de fundamental importancia



  • @tiagomaximo82:

    depois de muito custo deu tudo certo agradeço a todos!

    a opcao de splice All recomendo a todos a testarem no meu caso foi de grande valia!

    a do amigo que mencionou das rules caso essa nao desse certo seria de fundamental importancia

    Que bom que deu certo!!

    Por Favor, renomeie o titulo do seu primeiro post, colocando no final [RESOLVIDO]

    ;)



  • @Tomas:

    @empbilly:

    Pra bloquear https tu vai ter que colocar proxy transparente e configurar em cada dispositivo o proxy.

    Ou uma coisa ou outra. Se vai ser transparente é para não configurar proxy nos dispositivos.

    Para bloquear HTTPS nos dispositivos terá que informar manualmente o proxy, ou testar a nova forma de fazer transparente sem uso de certificado, com a opção Splice All. É recurso novo, ainda precisa testar mas parece bem promissor.

    Tu poderia explicar um pouco mais sobre essa ferramenta? E onde podemos encontrar ela no squid?



  • @danilosv.03:

    Tu poderia explicar um pouco mais sobre essa ferramenta? E onde podemos encontrar ela no squid?

    Não é ferramenta, é um recurso do Squid.

    Ele faz um túnel da 443 para a 3129 sem interceptação, fazendo que possa ser feito bloqueio de domínios com o Squidguard como se estive em modo ativo. Como o trafego não é interceptado não precisa instalar certificado nos clientes.

    Na opção de proxy transparente ssl tem a opção.



  • Eu tinha observado essa opção no squid mesmo: SSL/MITM Mode. E também eu estava com bastante interesse em saber como funciona cada uma delas. Tem algum link para que possamos dar uma olhada, para sabermos efeito de cada uma delas faz no pfsense?





  • @danilosv.03:

    @Tomas:

    @empbilly:

    Pra bloquear https tu vai ter que colocar proxy transparente e configurar em cada dispositivo o proxy.

    Ou uma coisa ou outra. Se vai ser transparente é para não configurar proxy nos dispositivos.

    Para bloquear HTTPS nos dispositivos terá que informar manualmente o proxy, ou testar a nova forma de fazer transparente sem uso de certificado, com a opção Splice All. É recurso novo, ainda precisa testar mas parece bem promissor.

    Tu poderia explicar um pouco mais sobre essa ferramenta? E onde podemos encontrar ela no squid?

    Aqui é a explicação da wiki: http://wiki.squid-cache.org/Features/SslPeekAndSplice

    Um tópico aqui no fórum : https://forum.pfsense.org/index.php?topic=123461.0

    Você pode encontrar ela na ultima versão do squid no pfsense 2.3.2_p1.
    https://forum.pfsense.org/index.php?topic=123461.msg688292#msg688292



  • Galera aproveitando o insejo, estou precisando bastante de uma ajuda em uma regra de NAT aqui. Eu tenho um Servidor da TOTVS configurado no meu winserver e eu queria liberar o acesso dele pra externo. Ou seja o usuário vai abrir aplicação (o programa) do TOTVS, vai se logar e vai cai direto aqui no meu servidor. Os acesso irão cai nas portas: 4234 à 4240. E eu queria como eu faço essa regra para poder liberar esse acesso externo.



  • @danilosv.03:

    Galera aproveitando o insejo, estou precisando bastante de uma ajuda em uma regra de NAT aqui. Eu tenho um Servidor da TOTVS configurado no meu winserver e eu queria liberar o acesso dele pra externo. Ou seja o usuário vai abrir aplicação (o programa) do TOTVS, vai se logar e vai cai direto aqui no meu servidor. Os acesso irão cai nas portas: 4234 à 4240. E eu queria como eu faço essa regra para poder liberar esse acesso externo.

    É Datasul?



  • Como assim datasul?



  • @danilosv.03:

    Como assim datasul?

    Aqui onde trabalho usamos o sistema da Totvs Datasul, e fiz o NAT para acesso a ele.

    Achei que vc usasse o mesmo.



  • Tem como tu postar essa regra? Ou me adicionar no skype: danilosv.03 para conversarmos ?



  • @danilosv.03:

    Tem como tu postar essa regra? Ou me adicionar no skype: danilosv.03 para conversarmos ?

    Funciona perfeito.



  • Só com esse print ta meio grosso de entender. Tem como detalhar? Preciso ver quem é o source, destino etc.



  • É um portforward.




  • Fazendo essa regra desse jeito ele já libera? tem como tu tirar o print dentro da regra? Eu te adicionei no skype.



  • @danilosv.03:

    Fazendo essa regra desse jeito ele já libera? tem como tu tirar o print dentro da regra? Eu te adicionei no skype.

    Em anexo.




  • Nesse caso tu usa apenas três portas né? 80 até a 82.



  • @danilosv.03:

    Só com esse print ta meio grosso de entender. Tem como detalhar? Preciso ver quem é o source, destino etc.

    No caso você faz o Nat na WAN,
    IP Source: Todos
    Porta Source: Você pode por a mesma. Ou alguma parecida.
    IP Destino: Seu servidor Totvs
    Porta Destino: A porta da conexão do Sistema.

    É mesmo conceito de um NAT para RDP.



  • Pois é! Eu to chateado por ta apanhando por uma regra tão simples de NAT cara;