Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema com acesso sem proxy

    Scheduled Pinned Locked Moved Portuguese
    13 Posts 6 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      slon
      last edited by

      Boa tarde a todos,

      Tenho o seguinte ambiente aqui na empresa.

      Tenho um PFSense instalado, fazendo papel de gateway da rede, com dhcp ativo.
      Ele também é responsável pelo squid autenticado e sarg.

      Até ai tudo bem, eu coloco o proxy na aba conexões la em Opções da Internet, show, tudo funciona.
      Mas quando eu removo o proxy, o acesso total é liberado.
      Como eu posso fazer para bloquear o acesso para usuários que não estejam com o proxy ativo ?

      Eu tentei com o proxy transparente, mas estava dando muito problema com os sites HTTPS.

      Outro problema é quando tento gerar o relatorio do SARG.

      Se eu forço ele a fazer, ele gera numa boa .. mas se eu abro a pagina novamente ele some o index parece.
      No Realtime funciona certinho, numa boa ..

      Tem esse erro aqui quando salvo a informação da agenda: Warning: symlink(): No such file or directory in /usr/local/pkg/sarg.inc on line 98

      Ele gera, mas quando abro o relatorio, recebo esse código de erro.

      Error: Could not find report index file.
      Check and save Sarg settings and try to force Sarg schedule.

      Se alguém puder me ajudar eu agradeço.

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        O bloqueio de máquinas sem proxy é feito nas regras da Lan. Bloqueie principalmente 80 e 443. Mas de preferência a configuração inversa, ou seja, libere apenas os serviços que a empresa necessita.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • S
          slon
          last edited by

          Certo, eu li sobre isso em outros, mas quando faço isso com e sem proxy para tudo aqui..

          Teria algum exemplo de como ficaria ?

          Não sou expert em firewall e essas paradas..

          Como aqui não tem AD, não tenho como bloquear a parte do proxy, se desse seria tudo mais simples, então, busco soluções alternativas para os caras que tirarem o proxy de la ..

          1 Reply Last reply Reply Quote 0
          • D
            Diogenis
            last edited by

            Cria uma regra na LAN autorizando o FW a acessar as portas 80 e 443

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @slon:

              Não sou expert em firewall e essas paradas..

              Você precisa criar uma regra de firewall em firewall -> rules -> lan.

              acima da regra que libera tudo, você cria uma regra bloqueando trafego tcp na porta 80 e outra regra bloqueando trafego tcp na porta 443.

              Tanto no forum, quando no google você encontra fácil tutoriais de como criar regras de firewall no pfSense.

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • S
                slon
                last edited by

                Tudo bem, vou tentar efetuar essas alterações.

                Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

                1 Reply Last reply Reply Quote 0
                • danilosv.03D
                  danilosv.03
                  last edited by

                  @slon:

                  Tudo bem, vou tentar efetuar essas alterações.

                  Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

                  Sim.


                  :)
                  |E-mail: danilosv.03@gmail.com
                  |Skype: danilosv.03


                  1 Reply Last reply Reply Quote 0
                  • S
                    slon
                    last edited by

                    certo, vou tentar efetuar essas alterações e comunico.

                    Quanto ao Sarg, alguem tem algum parecer?

                    O cenário que preciso dentro da empresa é bem simples..

                    Preciso apenas do proxy transparente rodando, sem bloqueios algum e o relatorio de acessos aos sites, porém tive diversos erros com os sites https, erros com o certificado, ja fiz e refiz 30x e persiste os erros..
                    o sarg, da uns bugs que quando atualiza some todos os relatorios ..

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • T
                        tomaswaldow
                        last edited by

                        @marcelloc:

                        Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

                        Com o splice o consumo de memoria está bem alto, avaliar com moderação.

                        Marcello, esta tendo sucesso com Splice All?

                        Tomas @ 2W Consultoria

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @Tomas:

                          Marcello, esta tendo sucesso com Splice All?

                          só lab por enquanto. Estou focado no antispam e e2guardian.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • V
                            vsaad
                            last edited by

                            @slon:

                            Tudo bem, vou tentar efetuar essas alterações.

                            Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

                            Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

                            O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

                            Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
                            Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.

                            1 Reply Last reply Reply Quote 0
                            • danilosv.03D
                              danilosv.03
                              last edited by

                              @vsaad:

                              @slon:

                              Tudo bem, vou tentar efetuar essas alterações.

                              Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

                              Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

                              O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

                              Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
                              Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.

                              Acredito que não, pois como a regra é default, ela ta liberando tudo, se ta liberando tudo consequentemente era pra ta acessando normal.


                              :)
                              |E-mail: danilosv.03@gmail.com
                              |Skype: danilosv.03


                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.