Dúvidas configuração Proxy Não Transparente e liberar acess full para visitantes



  • Boa Noite a todos,

    Eu irei configurar o PFSense em um cliente e irei configurar o proxy.

    O Cenário que eu preciso aplicar é o seguinte:

    -Usar proxy não transparente.
    -Sincronizar o PFSense com o Active Directory.
    -Criar os bloqueios através de grupos do Active Directory.
    -Criar o certificado para interceptação SSL

    Esses 3 itens acima, eu já assisti vídeos aulas e já entendi o conceito.

    Agora vem minhas dúvidas.

    -Preciso que os usuários que passem pelo proxy, não precisem entrar com login e senha ao abrir o navegador e acessar o primeiro site (que ele seja automatico)
    -Preciso que os 3 diretores tenham acesso irrestrito a internet (se não precisar configurar o proxy no navegador seria interessante)
    -Preciso que os visitantes que logarem no WIFI, tenham acesso irrestrito a internet (normalmente é utilizado smartphone)

    A máquina que vai ser instalado o PFSense irá ter somente 1 placa para LAN e 1 para WAN (não consigo investir nenhum centavo no momento)

    Como eu posso fazer para fazer a liberação irrestrita para os diretores e para os visitantes, sendo que não possuo switch gerenciavel e também não posso fazer nenhum investimento.

    Espero que possam me ajudar.



    • Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

    • Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

    • Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

    Se você tivesse mais uma plaquinha, teria um controle bem melhor.



  • @Marco:

    • Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

    • Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

    • Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

    Se você tivesse mais uma plaquinha, teria um controle bem melhor.

    Boa Noite Marco,

    Eu estava pensando numa situação parecida.

    A minha vantagem é que os usuários não conseguem alterar o IP dos computadores, ai seria mais fácil.

    Eu estava pensando em fazer assim, após o seu comentário.

    Amarrar todos os computadores pelo Mac Address, já definindo o IP para cada computador, incluindo os diretores.

    Criaria um range de DHCP pequeno na rede (por volta de 20), somente para visitantes.

    Os diretores, eu deixaria até com proxy, mas criaria uma exceção para o grupo Diretoria que tem no AD, pois as vezes os diretores logam com seus usuários em computadores dos funcionários …

    Creio que assim facilitaria, o que acha?

    Eu ainda estou aprendendo a trabalhar com o PFSense, eu tenho mais costume a trabalhar com o Endian, mas estou começando a instalar os novos firewall com PFSense e depois irei migrar os Endian para o PFSense.



  • Cara, eu não colocaria wifi de visitante na rede local não, Eu incluiria uma terceira placa de rede, utilizaria uma faixa de IP diferente, etc. Eu vi que seu budget ta apertado, mas uma NIC baratinha é uns $15/$20.

    Eu não liberaria porta 80 e 443 para os diretores, eu incluiria eles no full access do squid mesmo.



  • @dougstein:

    @Marco:

    • Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

    • Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

    • Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

    Se você tivesse mais uma plaquinha, teria um controle bem melhor.

    Boa Noite Marco,

    Eu estava pensando numa situação parecida.

    A minha vantagem é que os usuários não conseguem alterar o IP dos computadores, ai seria mais fácil.

    Eu estava pensando em fazer assim, após o seu comentário.

    Amarrar todos os computadores pelo Mac Address, já definindo o IP para cada computador, incluindo os diretores.

    Criaria um range de DHCP pequeno na rede (por volta de 20), somente para visitantes.

    Os diretores, eu deixaria até com proxy, mas criaria uma exceção para o grupo Diretoria que tem no AD, pois as vezes os diretores logam com seus usuários em computadores dos funcionários …

    Creio que assim facilitaria, o que acha?

    Eu ainda estou aprendendo a trabalhar com o PFSense, eu tenho mais costume a trabalhar com o Endian, mas estou começando a instalar os novos firewall com PFSense e depois irei migrar os Endian para o PFSense.

    Opa boa noite.

    É uma boa, melhor ainda se não for desmarcar o proxy dos diretores pois ai não precisa habilitar a 80 e 443 para eles, apenas para os visitantes.

    Sobre o que o amigo falou ai em cima é válido também. Se os seus visitantes for utilizar a placa lan pra wifi, além da falha de segurança voce pode ter problemas de desempenho. Imagina por exemplo a empresa toda autenticando, inclusive o active directory gerando trafego na LAN, e ainda mais alguns visitantes abusando. Sua placa de rede pode ficar sobrecarregada.

    Se tu conseguir descolar uma plaquinha de rede extra ( não precisa ser top, até pq vai ser para os visitantes rsrsrsrs) o cenário vai ficar perfeito.

    É noís.


Log in to reply