Obrigar Ips a usarem o proxy [ Concluido]
-
Use o Squid em modo não transparente.
Crie uma nova regra em firewall > rules > lan permitindo saída HTTP/HTTPS apenas pela porta do proxy.
Desabilite a regra padrão na LAN e coloque a nova regra criada acima dela.
Nesse caso é preciso configurar cada máquina separadamente para acesso ao proxy, do contrário não
terá acesso web.Em geral, outras regras devem ser criadas para permitir o acesso externo de outros programas que utilizam
as portas diferentes de HTTP/HTTPS. -
Obrigado man
entendi o que você quiz dizer…Bom mas tem como eu setar por exemplo 3 ips da rede para obrigadoriamente utilizar o proxy...?
Deu para entender...?
Abraço e Obrigado novamente -
Bom mas tem como eu setar por exemplo 3 ips da rede para obrigadoriamente utilizar o proxy…?
Deu para entender...?Na aba Proxy Server > Access control há a opção Allowed subnets. Note que a subrede na interface LAN, tanto em em modo transparente quanto em não transparente, já está com permissão de uso do proxy.
Você pode criar outra subrede e configurar a mesma nessa opção Allowed subnets, utilizando CIDR para restringir o numero de IPs que ela comporta e configurar os navegadores desses hosts para utilizar o proxy conforme eu disse acima, ou ainda nessa mesma aba na opção Banned host addresses, impedir o acesso de alguns hosts pelo proxy.Enfim, há muitas possibilidades. Você poderia explicar com mais detalhes o que pretende para a ajuda ser mais eficiente.
Note que os hosts cujos navegadores estiverem configurados para utlilizar o proxy (configurado em modo não transparente), obrigatoriamente terão que usá-lo, os outros não terão acesso. -
Claro que explico
muito obrigado pela sua ajuda…
Bom vamos lá...
tenho um proxy integrado com ad funcionando perfeitamente...
Vamos dizer que esse IP 192.168.5.15 tenha um usuario que fuça no micro...
Eu vou e coloco pra ele o proxy no IE por exemplo, e de algum jeito ele consiga retirar...
nesse caso ele consiguirá navegar normalmente
Bom a duvida é se tem alguma regra que eu crie para que se ele retirar o proxy do navegador ele não navegue na internet?è claro posso bloquear ele de retirar isso, mas para fins didaticos gostaria de saber, pq o nosso concorrente Bfw faz isso
Obrigado de novo pela ajuda
e desculpe se eu naum entender algumas coisa, pois sou novo nesse mundo de firewall
Abraçooo -
tenho um proxy integrado com ad funcionando perfeitamente…
Vamos dizer que esse IP 192.168.5.15 tenha um usuario que fuça no micro...
Eu vou e coloco pra ele o proxy no IE por exemplo, e de algum jeito ele consiga retirar...
nesse caso ele consiguirá navegar normalmente
Bom a duvida é se tem alguma regra que eu crie para que se ele retirar o proxy do navegador ele não navegue na internet?Se 192.168.5.15 está numa subrede diferente da utilizada pela interface LAN, então se aplica o caso que citei em Proxy Server > Access control. Na opção Allowed subnets inclua a subrede 192.168.5.x com CIDR (máscara) respectivo. O Squid deverá estar em modo não transparente e deverá existir uma regra na LAN restringindo acesso HTTP/HTTPS apenas pelo proxy (conforme já citei mais acima) e a regra padrão deverá estar desabilitada.
Note que, ainda assim, um usuário mais esperto poderá acessar a internet utilizando algum software que engane o proxy (através de um outro proxy externo). Na faculdade isso era utilizado direto por alguns alunos, inclusive para acessar MSN, Orkut, etc. Não me lembro o nome do aplicativo.
A melhor maneira de evitar os espertinhos é atraves de política interna (normas de utilização). Ou ainda mais radical, caso não exista política: configurações no AD ou SO do host do usuário que não permitem instalação de softwares, acesso às configurações do browser, Painel de Controle, etc.
-
entendi
Bom porem esse ip esta na mesma Sub-rede que minha interface LAN…
ACho que nesse caso não é possivel né?
seria uma boa sujestão para o pessoal do pfsense...sei lah
pq o concorrente faz
hAEUHEUAh
Abraço man e vlw pelos ups -
entendi
Bom porem esse ip esta na mesma Sub-rede que minha interface LAN…
ACho que nesse caso não é possivel né?
seria uma boa sujestão para o pessoal do pfsense...sei lah
pq o concorrente faz
hAEUHEUAh
Abraço man e vlw pelos upsSim, é possível, João Dini.
Leia bem o que falei sobre as regras na LAN.
Se ainda assim não funcionar, talvez eu esteja errado.
Daí, alguém mais poderá ajudar. -
Dependendo de como esteja sua rede vai ser simples. Tudo vai girar em torno das regras da LAN. Essas regras são sequenciais. Na minha rede atualmente existe alguns ip que são liberados. Logo depois de todas as minhas regras de liberação total de algumas maquinas (IPS) eu bloqueio a porta 80, ou seja quando o usuario tirar o proxy no navegador a porta 80 estara barrada, ja que ele não vai ter IP com liberação total. Depois do bloqueio da porta 80 eu libero algumas portas necessarias como 110, 25, 53…
Espero ter ajudado.
-
Legal pessoal
vou testar direitinho
ai posto os resultados e os Ss para melhor esclarecimento
Abraçooo -
Boas Pessoal
Vlw pelos replys!!
Consegui fazer o que eu queria com base nas informações que vcs me passaram…
segue o Ss para alguem tiver a msm dificuldade
Abraççoo
Topico Fechado! -
E ai pessoal, blz?
Tenho um problema com o Proxy Transparente do pfsense. Por algum motivo, ele não redireciona o tráfego para o proxy. Alguma idéia do que seja?
Att,
-