Regras Firewall Proxy Transparente



  • Configurei o proxy trasparent funcionando ok, porém com a regra que libera tudo no firewall LAN-WAN ou seja qualquer porta qualquer serviço meus usuários terão acesso. Procurei mas não encontrei como criou a regra especifica para o redirecionamento do proxy transparent se alguém puder me mandar um print.



  • Bom dia amigo, dá uma olhada nesse curso da Cavalcante Treinamentos, me ajudou bastante no ínicio.



  • Como recomendado acima, o interessante é você olhar vídeo aulas básicas para entender bem o funcionamento da liberação de portas. Pois a regra padrão, só serve para fins de teste, quando necessário, porque senão é a mesma coisa de não ter um firewall se ficar usando ela.

    Você tem que desabilita-la e ir habilitando o que se faz necessário, por exemplo a a porta 53 (UDP) para o acesso ao DNS, e a (s) porta(s) do proxy, que se fosse E2Guardian seriam as portas 8080 e 8081. Não sendo, tem que verificar qual a porta que está configurada no seu proxy transparente para liberar ela.

    E isso é só o começo, pois as portas são um cadinho a serem liberadas para tudo estar funcionando bem.



  • This post is deleted!


  • @obmor Então é o E2guardian, 53 liberado proxy não transparente funciona se coloco transparente não navega, a não ser que a regra de liberação total esteja ativada, o que não conseguir foi criar a regra que permite o proxy transparente funcionar no firewall Rules.



  • Boa tarde @otaviorme

    É só você criar na sua aba Firewall -> Rules - LAN conforme o exemplo das regras abaixo para o E2Guardian funcionar corretamente via Proxy Transparente.

    7ebb49e6-3ebc-4722-bc95-f6206f7949a1-image.png

    Atenciosamente.

    César Moura



  • @acamoura Bom Dia

    Fiz como você me passou porém não funciona o proxy transparente mas se eu configurar o proxy manual funciona corretamente. Alguma outra regra esta faltando.
    e585f4a0-086a-4302-a104-e59580a22746-image.png

    Com o proxy transparente recebo esse erro:
    dc1c038f-a9a1-4577-ae4a-268d8376ccda-image.png



  • Tente trocar o protocolo para somente IPv4. Há mais regras no firewall além dessas?



  • @obmor Deixei somente IPv4 sem sucesso. Sim tem outras regras de liberação de portas SMTP POP WTS SSH mas nada que possa vir interferir creio eu. Assim, ao que entendo o proxy transparente redireciona toda requisição da porta 80 para a 8080 e 443 para 8081 aí que eu não consigo chegar a regra de firewall para que isso funcionar e se configuro o proxy manual funciona. É um detalhe que não to conseguindo decifrar.



  • Se você desabilita o E2G, e libera as portas 80 e 443, a navegação está acontecendo de boa? Sem nenhuma configuração adicional.



  • @obmor Sim fiz o teste navega normal. Desativei o E2G e liberei 80 e 443

    f50e5afb-b52c-45f8-aab1-89b801359b91-image.png



  • @otaviome said in Regras Firewall Proxy Transparente:

    @obmor Sim fiz o teste navega normal. Desativei o E2G e liberei 80 e 443

    f50e5afb-b52c-45f8-aab1-89b801359b91-image.png

    Tcpdump com proxy transparent:

    IP 192.168.13.150.60144 > 78.142.29.210.http: Flags [S], seq 2627649250, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    IP 192.168.13.150.60145 > 78.142.29.210.http: Flags [S], seq 1659972800, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    IP 192.168.13.150.60146 > 65.52.108.76.https: Flags [S], seq 1392043178, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    IP 192.168.13.150.60146 > 65.52.108.76.https: Flags [S], seq 1392043178, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    IP 192.168.13.150.60140 > 192.168.1.255.1688: Flags [S], seq 4269915484, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

    Ele tenta sair direto pela 80 mas como é bloqueada não navega. Quanto eu marco lá no E2G que é proxy transparente as regras de firewall(redirecionamento para o proxy) não deveria já ser criada automaticamente? Sem precisar criar nada manual em Firewall - Rules?



  • Na verdade ele não cria essa regra não, ou se cria, ele não fica aparente, ele mesmo faz essa interceptação.

    Um outro teste, marca transparente e deixa desmarcado do SSL, para usar somente a porta 80, e tenta acessar um site que seja só http para ver o que acontece.



  • @obmor Fiz o teste não funcionou.
    f32b7c90-1445-4edc-a9ee-460dddf7cb90-image.png

    WPAD - OK
    Proxy Manual - OK
    Trasparent - NOT OK

    No transparete ele não intercepta ele joga direto na 80 e 443 ai como não tem liberação no firewall não navega e seu libero ai sai direto e não bloqueia nada.



  • @otaviome Funcionou eu desmarquei o proxy transparent no E2G apliquei voltei a marcar apliquei e funcionou. Resumindo então apenas o que o nosso amigo @acamoura orientou lá no inicio. Liberar as portas 8080 e 8081. Obrigado.

    Agora tudo OK

    Transparent - OK
    SSL Interception - OK
    *Instalação do certificado nos clientes (para poder interceptar conteúdo)

    Por sinal tem como fazer sem ter que instalar cerificado nos clientes?


Log in to reply