4. Problema com acesso sem proxy

Problema com acesso sem proxy

  • S

    Boa tarde a todos,

    Tenho o seguinte ambiente aqui na empresa.

    Tenho um PFSense instalado, fazendo papel de gateway da rede, com dhcp ativo.
    Ele também é responsável pelo squid autenticado e sarg.

    Até ai tudo bem, eu coloco o proxy na aba conexões la em Opções da Internet, show, tudo funciona.
    Mas quando eu removo o proxy, o acesso total é liberado.
    Como eu posso fazer para bloquear o acesso para usuários que não estejam com o proxy ativo ?

    Eu tentei com o proxy transparente, mas estava dando muito problema com os sites HTTPS.

    Outro problema é quando tento gerar o relatorio do SARG.

    Se eu forço ele a fazer, ele gera numa boa .. mas se eu abro a pagina novamente ele some o index parece.
    No Realtime funciona certinho, numa boa ..

    Tem esse erro aqui quando salvo a informação da agenda: Warning: symlink(): No such file or directory in /usr/local/pkg/sarg.inc on line 98

    Ele gera, mas quando abro o relatorio, recebo esse código de erro.

    Error: Could not find report index file.
    Check and save Sarg settings and try to force Sarg schedule.

    Se alguém puder me ajudar eu agradeço.

    0

  • O bloqueio de máquinas sem proxy é feito nas regras da Lan. Bloqueie principalmente 80 e 443. Mas de preferência a configuração inversa, ou seja, libere apenas os serviços que a empresa necessita.

    0
  • S

    Certo, eu li sobre isso em outros, mas quando faço isso com e sem proxy para tudo aqui..

    Teria algum exemplo de como ficaria ?

    Não sou expert em firewall e essas paradas..

    Como aqui não tem AD, não tenho como bloquear a parte do proxy, se desse seria tudo mais simples, então, busco soluções alternativas para os caras que tirarem o proxy de la ..

    0
  • D

    Cria uma regra na LAN autorizando o FW a acessar as portas 80 e 443

    0

  • @slon:

    Não sou expert em firewall e essas paradas..

    Você precisa criar uma regra de firewall em firewall -> rules -> lan.

    acima da regra que libera tudo, você cria uma regra bloqueando trafego tcp na porta 80 e outra regra bloqueando trafego tcp na porta 443.

    Tanto no forum, quando no google você encontra fácil tutoriais de como criar regras de firewall no pfSense.

    0
  • S

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    0

  • @slon:

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    Sim.

    0
  • S

    certo, vou tentar efetuar essas alterações e comunico.

    Quanto ao Sarg, alguem tem algum parecer?

    O cenário que preciso dentro da empresa é bem simples..

    Preciso apenas do proxy transparente rodando, sem bloqueios algum e o relatorio de acessos aos sites, porém tive diversos erros com os sites https, erros com o certificado, ja fiz e refiz 30x e persiste os erros..
    o sarg, da uns bugs que quando atualiza some todos os relatorios ..

    0

  • Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

    0

  • @marcelloc:

    Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

    Com o splice o consumo de memoria está bem alto, avaliar com moderação.

    Marcello, esta tendo sucesso com Splice All?

    0

  • @Tomas:

    Marcello, esta tendo sucesso com Splice All?

    só lab por enquanto. Estou focado no antispam e e2guardian.

    0
  • V

    @slon:

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

    O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

    Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
    Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.

    0

  • @vsaad:

    @slon:

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

    O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

    Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
    Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.

    Acredito que não, pois como a regra é default, ela ta liberando tudo, se ta liberando tudo consequentemente era pra ta acessando normal.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy