Obrigar Ips a usarem o proxy [ Concluido]



  • Boas pessoal
    olha eu aqui de novo…
    Seguinte no brazil Fw tem um recurso que serve para o seguinte ele obriga ao usuario usar o proxy se não utilizar ele não acessa internet.
    Tem algum recurso desse jeito no PFsense/??
    Abraços ;D



  • Use o Squid em modo não transparente.
    Crie uma nova regra em firewall > rules > lan permitindo saída HTTP/HTTPS apenas pela porta do proxy.
    Desabilite a regra padrão na LAN e coloque a nova regra criada acima dela.
    Nesse caso é preciso configurar cada máquina separadamente para acesso ao proxy, do contrário não
    terá acesso web.

    Em geral, outras regras devem ser criadas para permitir o acesso externo de outros programas que utilizam
    as portas diferentes de HTTP/HTTPS.



  • Obrigado man
    entendi o que você quiz dizer…Bom mas tem como eu setar por exemplo 3 ips da rede para obrigadoriamente utilizar o proxy...?
    Deu para entender...?
    Abraço e Obrigado novamente



  • @João:

    Bom mas tem como eu setar por exemplo 3 ips da rede para obrigadoriamente utilizar o proxy…?
    Deu para entender...?

    Na aba Proxy Server > Access control há a opção Allowed subnets. Note que a subrede na interface LAN, tanto em em modo transparente quanto em não transparente, já está com permissão de uso do proxy.
    Você pode criar outra subrede e configurar a mesma nessa opção Allowed subnets, utilizando CIDR para restringir o numero de IPs que ela comporta e configurar os navegadores desses hosts para utilizar o proxy conforme eu disse acima, ou ainda nessa mesma aba na opção Banned host addresses, impedir o acesso de alguns hosts pelo proxy.

    Enfim, há muitas possibilidades. Você poderia explicar com mais detalhes o que pretende para a ajuda ser mais eficiente.
    Note que os hosts cujos navegadores estiverem configurados para utlilizar o proxy (configurado em modo não transparente), obrigatoriamente terão que usá-lo, os outros não terão acesso.



  • Claro que explico
    muito obrigado pela sua ajuda…
    Bom vamos lá...
    tenho um proxy integrado com ad funcionando perfeitamente...
    Vamos dizer que esse IP 192.168.5.15 tenha um usuario que fuça no micro...
    Eu vou e coloco pra ele o proxy no IE por exemplo, e de algum jeito ele consiga retirar...
    nesse caso ele consiguirá navegar normalmente
    Bom a duvida é se tem alguma regra que eu crie para que se ele retirar o proxy do navegador ele não navegue na internet?

    è claro posso bloquear ele de retirar isso, mas para fins didaticos gostaria de saber, pq o nosso concorrente Bfw faz isso
    Obrigado de novo pela ajuda
    e desculpe se eu naum entender algumas coisa, pois sou novo nesse mundo de firewall
    Abraçooo



  • @João:

    tenho um proxy integrado com ad funcionando perfeitamente…
    Vamos dizer que esse IP 192.168.5.15 tenha um usuario que fuça no micro...
    Eu vou e coloco pra ele o proxy no IE por exemplo, e de algum jeito ele consiga retirar...
    nesse caso ele consiguirá navegar normalmente
    Bom a duvida é se tem alguma regra que eu crie para que se ele retirar o proxy do navegador ele não navegue na internet?

    Se 192.168.5.15 está numa subrede diferente da utilizada pela interface LAN, então se aplica o caso que citei  em Proxy Server > Access control. Na opção Allowed subnets inclua a subrede 192.168.5.x com CIDR (máscara) respectivo. O Squid deverá estar em modo não transparente e deverá existir uma regra na LAN restringindo acesso HTTP/HTTPS apenas pelo proxy (conforme já citei mais acima) e a regra padrão deverá estar desabilitada.

    Note que, ainda assim, um usuário mais esperto poderá acessar a internet utilizando algum software que engane o proxy (através de um outro proxy externo). Na faculdade isso era utilizado direto por alguns alunos, inclusive para acessar MSN, Orkut, etc. Não me lembro o nome do aplicativo.

    A melhor maneira de evitar os espertinhos é atraves de política interna (normas de utilização). Ou ainda mais radical, caso não exista política: configurações no AD ou SO do host do usuário que não permitem instalação de softwares, acesso às configurações do browser, Painel de Controle, etc.



  • entendi
    Bom porem esse ip esta na mesma Sub-rede que minha interface LAN…
    ACho que nesse caso não é possivel né?
    seria uma boa sujestão para o pessoal do pfsense...sei lah
    pq o concorrente faz
    hAEUHEUAh
    Abraço man e vlw pelos ups



  • @João:

    entendi
    Bom porem esse ip esta na mesma Sub-rede que minha interface LAN…
    ACho que nesse caso não é possivel né?
    seria uma boa sujestão para o pessoal do pfsense...sei lah
    pq o concorrente faz
    hAEUHEUAh
    Abraço man e vlw pelos ups

    Sim, é possível, João Dini.
    Leia bem o que falei sobre as regras na LAN.
    Se ainda assim não funcionar, talvez eu esteja errado.
    Daí, alguém mais poderá ajudar.



  • Dependendo de como esteja sua rede vai ser simples. Tudo vai girar em torno das regras da LAN. Essas regras são sequenciais. Na minha rede atualmente existe alguns ip que são liberados. Logo depois de todas as minhas regras de liberação total de algumas maquinas (IPS) eu bloqueio a porta 80, ou seja quando o usuario tirar o proxy no navegador a porta 80 estara barrada, ja que ele não vai ter IP com liberação total. Depois do bloqueio da porta 80 eu libero algumas portas necessarias como 110, 25, 53…

    Espero ter ajudado.



  • Legal pessoal
    vou testar direitinho
    ai posto os resultados e os Ss para melhor esclarecimento
    Abraçooo



  • Boas Pessoal
    Vlw pelos replys!!
    Consegui fazer o que eu queria com base nas informações que vcs me passaram…
    segue o Ss para alguem tiver a msm dificuldade

    Abraççoo
    Topico Fechado!



  • E ai pessoal, blz?

    Tenho um problema com o Proxy Transparente do pfsense. Por algum motivo, ele não redireciona o tráfego para o proxy. Alguma idéia do que seja?

    Att,



  • Veja na imagem como deve ficar no firewall – rules -- LAN,  para usar o proxy como padrão na sua rede!



Locked