Restringir acesso aos dispositivo sem proxy configurado (proxy autenticado)



  • Boa noite, sou novo no forum, mas percebi que minha dúvida é antiga e comum. Apesar disso, não encontrei uma resposta.

    Tenho um ambiente com pfsense autenticando no AD. Ele reconhece o AD, os usuários, os grupos, as ACLs com base nas categorias do squidguard, etc. A única dúvida é com relação aos dispositivos que não estão com o proxy configurado.

    Os dispositivos que não estão com o proxy configurado, acessam a internet livremente, porém, preciso que seja liberado com restrições. Exemplo: Um visitante entra na wi-fi da empresa ou os próprios funcionários com seus smartphones. Deveriam navegar apenas no site da empresa e sites de notícias sem a necessidade de colocar o proxy. Agora, se precisarem de mais acesso, a orientação é configurar o proxy e autenticar para liberar o acesso.
    Em um outro post ví um membro comentando para desabilitar a regra default do firewall, mas desta forma bloqueia tudo. Quando coloco o proxy ele navega conforme a definição das ACLs.

    Alguém pode ajudar? Espero ter sido claro com as informações.



  • Antes de desativar a regra padrão, você precisa adicionar as regras com os acessos que quer liberar (acesso ao proxy, site ds Empresa, etc)



  • Obrigado pelo retorno marcelloc.
    Não sei exatamente como fazer funcionar, pode detalhar melhor?

    Se desabilito a regra default do firewall (anexo) só é possível navegar com o proxy configurado, até aqui está ok. Já os usuários que estão sem o proxy configurado não navegam em nenhum endereço. Agora, preciso liberar algumas categorias de site pelo squidguard, mas não consigo fazer com que o usuário caia em alguma ACL.

    Para constar, a rede é 192.168.1.0/24. No squidguard criei uma regra padrão (anexo) com o endereço da rede, seria desta forma?








  • Bom. o que o colega falou foi.. vc habilita a regra padrao que passa tudo. dae ou vc cria um alias pras portas ou vai criando normal.. tipo liberar a porta 443 ou 80 ou 53 3128 ou um alias que pode acessar tudo alguma coisa assim.. depois vc criar uma regra negando tudo.



  • @bchaves1:

    Para constar, a rede é 192.168.1.0/24. No squidguard criei uma regra padrão (anexo) com o endereço da rede, seria desta forma?

    por exemplo no meu cenario eu tenho uma rede sem fio privativa ou seja so diretoria usa. dae eu criei um grupo Rede_privativa coloquei allow pra tudo e pronto .. como tem outras redes.. academica e docente cai tudo na common alc



  • Desculpe a persistência, ainda continuo com o problema, vou tentar explicar melhor.
    O problema está nas máquinas que não possuem proxy configurado..

    1 - Quando eu habilito a regra padrão do pfsense, onde libera (source * / destination *), a máquina acessa de fato tudo, sem respeitar nenhuma ACL.

    2 - Quando desabilito a regra padrão, a máquina não navega em nada. Não cai na COMMON ACL que tem algumas categorias liberadas por exemplo.

    As máquinas que estão sem proxy configurado nem são vistas no real time do proxy server, não deveria ver? As máquinas estão como gateway o pfsense e o dns o AD.

    O que preciso é que as máquinas que estiverem sem proxy configurado (visitante, smartphone, tablet, etc) utilzem a COMMON ACL do squidguard. A COMMOM ACL não são as regras padrão? Ou seja, se não cair na condição de nenhuma ACL, utiliza-se a COMMON. Meu reciocínio está correto?

    A impressão que tenho é que o pfsense não escuta as máquinas sem proxy.

    Se puderem ajudar, agradeço, estou há alguns dias só com esta pendência para resolver.

    Grande abraço.



  • @bchaves1:

    Boa noite, sou novo no forum, mas percebi que minha dúvida é antiga e comum. Apesar disso, não encontrei uma resposta.

    Tenho um ambiente com pfsense autenticando no AD. Ele reconhece o AD, os usuários, os grupos, as ACLs com base nas categorias do squidguard, etc. A única dúvida é com relação aos dispositivos que não estão com o proxy configurado.

    Os dispositivos que não estão com o proxy configurado, acessam a internet livremente, porém, preciso que seja liberado com restrições. Exemplo: Um visitante entra na wi-fi da empresa ou os próprios funcionários com seus smartphones. Deveriam navegar apenas no site da empresa e sites de notícias sem a necessidade de colocar o proxy. Agora, se precisarem de mais acesso, a orientação é configurar o proxy e autenticar para liberar o acesso.
    Em um outro post ví um membro comentando para desabilitar a regra default do firewall, mas desta forma bloqueia tudo. Quando coloco o proxy ele navega conforme a definição das ACLs.

    Alguém pode ajudar? Espero ter sido claro com as informações.

    Como vc usa proxy autenticado, automaticamente quando vc coloca o ip e porta do proxy no navegador todo trafego daquele computador é redirecionado para porta 3128 (do proxy).

    Bom quando alguém conecta em sua rede e ele consegue navegar normalmente sem a necessidade de logar no proxy.
    para bloquear isso é simples, só ir em Regras do Firerall e bloqueia para LANnet as portas 80, 443, feito isso ninguém mais vai conseguir navegar, para conseguir vai ser OBRIGATÓRIO colocar o proxy no navegador.

    Aí que está o detalhe, ou libera tudo ou bloqueia tudo, (o controle do acesso vai ter somente se a pessoa logar no proxy).

    Pq se vc liberar a porta 80, eles vão navegar em tudo. E nas Regras do Firewall não tem como restringir sites… lá é somente IP ou Porta.

    Até eu gostaria de saber uma solução para este caso.



  • Perfeito andrezaomac, você entendeu o problema.

    Vejo que tem muitas dúvidas como esta nos foruns por aí. Não faz sentido um visitante colocar o proxy já que é temporário, fora que vai ter dificuldades em remover para entrar em outro ambiente, inviável.

    Se souber de algo, compartilha conosco por favor.

    marcelloc/edugiants4x, alguma sugestão?

    No aguardo.



  • @bchaves1:

    Perfeito andrezaomac, você entendeu o problema.

    Vejo que tem muitas dúvidas como esta nos foruns por aí. Não faz sentido um visitante colocar o proxy já que é temporário, fora que vai ter dificuldades em remover para entrar em outro ambiente, inviável.

    Se souber de algo, compartilha conosco por favor.

    marcelloc/edugiants4x, alguma sugestão?

    No aguardo.

    No momento a forma menos difícil de administrar é criando uma outra rede (Vlan), daria para fazer… mas é meio chato.



  • Cria VLAN e separa o joio do trigo ou usa mais uma placa de rede no pfsense e aplica as regras e separa as redes, na de visitante vc poe um proxy transparente, e usa alguns dos tutos aqui pra monitorar o acesso (relatorios).

    O bom é que esse cenario é muito flexivel, se um visitante precisa acessar um servico web interno ou um sistema vc concede acesso temporario e depois zera tudo e quanto ao acesso aos sites vc pode fazer qualquer coisa a nivel de restricao/liberacao.