Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dúvidas configuração Proxy Não Transparente e liberar acess full para visitantes

    Scheduled Pinned Locked Moved Portuguese
    5 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dougstein
      last edited by

      Boa Noite a todos,

      Eu irei configurar o PFSense em um cliente e irei configurar o proxy.

      O Cenário que eu preciso aplicar é o seguinte:

      -Usar proxy não transparente.
      -Sincronizar o PFSense com o Active Directory.
      -Criar os bloqueios através de grupos do Active Directory.
      -Criar o certificado para interceptação SSL

      Esses 3 itens acima, eu já assisti vídeos aulas e já entendi o conceito.

      Agora vem minhas dúvidas.

      -Preciso que os usuários que passem pelo proxy, não precisem entrar com login e senha ao abrir o navegador e acessar o primeiro site (que ele seja automatico)
      -Preciso que os 3 diretores tenham acesso irrestrito a internet (se não precisar configurar o proxy no navegador seria interessante)
      -Preciso que os visitantes que logarem no WIFI, tenham acesso irrestrito a internet (normalmente é utilizado smartphone)

      A máquina que vai ser instalado o PFSense irá ter somente 1 placa para LAN e 1 para WAN (não consigo investir nenhum centavo no momento)

      Como eu posso fazer para fazer a liberação irrestrita para os diretores e para os visitantes, sendo que não possuo switch gerenciavel e também não posso fazer nenhum investimento.

      Espero que possam me ajudar.

      1 Reply Last reply Reply Quote 0
      • M
        Marco Noronha
        last edited by

        • Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

        • Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

        • Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

        Se você tivesse mais uma plaquinha, teria um controle bem melhor.

        1 Reply Last reply Reply Quote 0
        • D
          dougstein
          last edited by

          @Marco:

          • Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

          • Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

          • Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

          Se você tivesse mais uma plaquinha, teria um controle bem melhor.

          Boa Noite Marco,

          Eu estava pensando numa situação parecida.

          A minha vantagem é que os usuários não conseguem alterar o IP dos computadores, ai seria mais fácil.

          Eu estava pensando em fazer assim, após o seu comentário.

          Amarrar todos os computadores pelo Mac Address, já definindo o IP para cada computador, incluindo os diretores.

          Criaria um range de DHCP pequeno na rede (por volta de 20), somente para visitantes.

          Os diretores, eu deixaria até com proxy, mas criaria uma exceção para o grupo Diretoria que tem no AD, pois as vezes os diretores logam com seus usuários em computadores dos funcionários …

          Creio que assim facilitaria, o que acha?

          Eu ainda estou aprendendo a trabalhar com o PFSense, eu tenho mais costume a trabalhar com o Endian, mas estou começando a instalar os novos firewall com PFSense e depois irei migrar os Endian para o PFSense.

          1 Reply Last reply Reply Quote 0
          • V
            vsaad
            last edited by

            Cara, eu não colocaria wifi de visitante na rede local não, Eu incluiria uma terceira placa de rede, utilizaria uma faixa de IP diferente, etc. Eu vi que seu budget ta apertado, mas uma NIC baratinha é uns $15/$20.

            Eu não liberaria porta 80 e 443 para os diretores, eu incluiria eles no full access do squid mesmo.

            1 Reply Last reply Reply Quote 0
            • M
              Marco Noronha
              last edited by

              @dougstein:

              @Marco:

              • Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

              • Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

              • Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

              Se você tivesse mais uma plaquinha, teria um controle bem melhor.

              Boa Noite Marco,

              Eu estava pensando numa situação parecida.

              A minha vantagem é que os usuários não conseguem alterar o IP dos computadores, ai seria mais fácil.

              Eu estava pensando em fazer assim, após o seu comentário.

              Amarrar todos os computadores pelo Mac Address, já definindo o IP para cada computador, incluindo os diretores.

              Criaria um range de DHCP pequeno na rede (por volta de 20), somente para visitantes.

              Os diretores, eu deixaria até com proxy, mas criaria uma exceção para o grupo Diretoria que tem no AD, pois as vezes os diretores logam com seus usuários em computadores dos funcionários …

              Creio que assim facilitaria, o que acha?

              Eu ainda estou aprendendo a trabalhar com o PFSense, eu tenho mais costume a trabalhar com o Endian, mas estou começando a instalar os novos firewall com PFSense e depois irei migrar os Endian para o PFSense.

              Opa boa noite.

              É uma boa, melhor ainda se não for desmarcar o proxy dos diretores pois ai não precisa habilitar a 80 e 443 para eles, apenas para os visitantes.

              Sobre o que o amigo falou ai em cima é válido também. Se os seus visitantes for utilizar a placa lan pra wifi, além da falha de segurança voce pode ter problemas de desempenho. Imagina por exemplo a empresa toda autenticando, inclusive o active directory gerando trafego na LAN, e ainda mais alguns visitantes abusando. Sua placa de rede pode ficar sobrecarregada.

              Se tu conseguir descolar uma plaquinha de rede extra ( não precisa ser top, até pq vai ser para os visitantes rsrsrsrs) o cenário vai ficar perfeito.

              É noís.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.