Problema com acesso sem proxy



  • Boa tarde a todos,

    Tenho o seguinte ambiente aqui na empresa.

    Tenho um PFSense instalado, fazendo papel de gateway da rede, com dhcp ativo.
    Ele também é responsável pelo squid autenticado e sarg.

    Até ai tudo bem, eu coloco o proxy na aba conexões la em Opções da Internet, show, tudo funciona.
    Mas quando eu removo o proxy, o acesso total é liberado.
    Como eu posso fazer para bloquear o acesso para usuários que não estejam com o proxy ativo ?

    Eu tentei com o proxy transparente, mas estava dando muito problema com os sites HTTPS.

    Outro problema é quando tento gerar o relatorio do SARG.

    Se eu forço ele a fazer, ele gera numa boa .. mas se eu abro a pagina novamente ele some o index parece.
    No Realtime funciona certinho, numa boa ..

    Tem esse erro aqui quando salvo a informação da agenda: Warning: symlink(): No such file or directory in /usr/local/pkg/sarg.inc on line 98

    Ele gera, mas quando abro o relatorio, recebo esse código de erro.

    Error: Could not find report index file.
    Check and save Sarg settings and try to force Sarg schedule.

    Se alguém puder me ajudar eu agradeço.



  • O bloqueio de máquinas sem proxy é feito nas regras da Lan. Bloqueie principalmente 80 e 443. Mas de preferência a configuração inversa, ou seja, libere apenas os serviços que a empresa necessita.



  • Certo, eu li sobre isso em outros, mas quando faço isso com e sem proxy para tudo aqui..

    Teria algum exemplo de como ficaria ?

    Não sou expert em firewall e essas paradas..

    Como aqui não tem AD, não tenho como bloquear a parte do proxy, se desse seria tudo mais simples, então, busco soluções alternativas para os caras que tirarem o proxy de la ..



  • Cria uma regra na LAN autorizando o FW a acessar as portas 80 e 443



  • @slon:

    Não sou expert em firewall e essas paradas..

    Você precisa criar uma regra de firewall em firewall -> rules -> lan.

    acima da regra que libera tudo, você cria uma regra bloqueando trafego tcp na porta 80 e outra regra bloqueando trafego tcp na porta 443.

    Tanto no forum, quando no google você encontra fácil tutoriais de como criar regras de firewall no pfSense.



  • Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?



  • @slon:

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    Sim.



  • certo, vou tentar efetuar essas alterações e comunico.

    Quanto ao Sarg, alguem tem algum parecer?

    O cenário que preciso dentro da empresa é bem simples..

    Preciso apenas do proxy transparente rodando, sem bloqueios algum e o relatorio de acessos aos sites, porém tive diversos erros com os sites https, erros com o certificado, ja fiz e refiz 30x e persiste os erros..
    o sarg, da uns bugs que quando atualiza some todos os relatorios ..



  • Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.



  • @marcelloc:

    Está usando o pfSense 2.2.x? Na 2.3 o pacote do squid tem o recurso do spliceALL que faz a verificação dos sites incluidos no certificado no lugar de interceptar de fato a conexão ssl.

    Com o splice o consumo de memoria está bem alto, avaliar com moderação.

    Marcello, esta tendo sucesso com Splice All?



  • @Tomas:

    Marcello, esta tendo sucesso com Splice All?

    só lab por enquanto. Estou focado no antispam e e2guardian.



  • @slon:

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

    O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

    Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
    Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.



  • @vsaad:

    @slon:

    Tudo bem, vou tentar efetuar essas alterações.

    Mesmo o PFSENSE estando em uma máquina virtual em modo bridge, ele funcionará normalmente?

    Na aba lan tem uma regra que libera tudo para lan ipv4 e outra para ipv6.

    O ideal é vc criar regras liberando o que vc precisa, e desativar essa regra Default na aba LAN. Porém na hora que vc fizer isso, mais coisas podem parar de funcionar, e então vc vai ter que criar regras liberando somente o que vc precisa.

    Tenta mapear as portas e aplicacoes que seus usuarios usam, as vezes tem sites de bancos/governo que usam portas diferentes.
    Ou desabilita a regra Default allow lan ipv4 e espera os usuarios pedirem p vc liberar, e ai vc analisa e cria a liberacao de acordo com cada caso.

    Acredito que não, pois como a regra é default, ela ta liberando tudo, se ta liberando tudo consequentemente era pra ta acessando normal.