CASO INTERESANTE PORTAL CAUTIVO CON SCUID
-
:-\Me esta pasando algo q no deberia.. tengo un portal cautivo funcionando perfecto con scuid
me di cuenta en estos dias que si uso configuracion ip estatica (en el mismo rango del scuid)
y coloco la direccion proxy del navegador puedo navegar sin pasar por el portal cautivo,,me explico tengo servidor dhcp con servidor proxy 200.10.10.1
los clientes se conectan por dhcp en el rango 200.10.10.100 - 200.10.10.170
pero si coloco por ejemplo a una maquina una direccion estatica:
200.10.10.105
255.255.255.0
200.10.10.1y en el navegador coloco mi proxy.. 200.10.10.1 puerto 3128.
no pasa por el portal cautivo y el cliente navega .. Porque? la solucion puede ser sencilla
pero no la tengo.. agradezco ayuda… gracias de antemano... -
:) hola.
la verdad no entiendo muy bien. yo tengo la misma configuracion (pfsense + portal cautivo + dhcp + squid transparente) y funciona bien, cuando intento navegar con la direccion del proxy:3128 no me deja navegar.
recomendacion:
- el rango de de direcciones ip que das no cumplen con la normativa planteada por ianna, dado que es un segmento de ips publicas, esto puede causarte problemas en la navegacion
te consulto cuando colocas proxy:3128 va directo a alguna pagina? el proxy esta en modo transparente?
en mi caso sale:
ERROR El URL solicitado no se ha podido conseguir Mientras se intentaba procesar la petición: GET / HTTP/1.1 Host: 192.168.2.1:3128 User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0b6) Gecko/20100101 Firefox/4.0b6 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 115 Connection: keep-alive Ha ocurrido el siguiente problema: Petición no válida. Algún aspecto de la petición HTTP no es válido. Posibles problemas: Falta o es desconocido el método de la petición (no es GET ni POST) Falta el URL Falta el identificador HTTP (HTTP/1.0) La petición es demasiado grande. Hay caracteres ilegales en el nombre de máquina; el carácter subrayado (_) no está permitido.
-
Gracias amigo sanchez por tu tiempo,, si me habian dicho lo delos rangos de direcciones lo voy a tomar en cuenta y las voy a cambiar.. por cierto yo tengo el servidor lejos si yo cambio la direccion ip de la lan remotamente no tendria problemas para entrar luego?.. o mejor lo hago directamente del server..
uso proxy transparente… pero el problema es si yo uso direcciones fijas..
por ejemplo..... yo tengo dchp, portal y squid transparente funcionando bien..
pero si yo por ejemplo coloco una ip fija : 200.10.10.100 que coloco manualmente
255.255.255.0y coloco el proxy en el navegador entonces no pasa por el portal sino que abre la pagina de incio
que tenga configurada.. google en este caso y sigue navegando...,de esto me di cuenta yo pero otra persona que se conecte al ap y coloque direcciones fijas navega...
y tu diras como lo van a saber... pues al principio yo no tenia dhcp sino direcciones manuales
entonces la gente sabia su ip y la configuracion del proxy.. entonces si los bloqueba por ip
buscaban otras direcciones... con el portal elimine eso... pero quedo el caso que te estoy presentandoespero entiendas y gracias por tu amabilidad luis.. saludos
-
:-[ ay!!!!
si reymy… tal como comentas falla la seguridad...
pero no tiene nada que ver la ip fija, solo fijar el proxy:puerto tumba efectivamente el captive portal y se puede navegar.
me preocupa mucho el caso. voy a publicar en ingles para ver que nos comentan... :-\
publicado:
http://forum.pfsense.org/index.php/topic,29988.0.html
-
Solucion…..
Bueno primero que nada muchas veces se trato de separar servicios... pues creo que para evitar este tipo de fallas de seguridad es mejor poner su proxy en distinto rango de IP´s con disponibilidad de 2 IP´s nada mas una ser servidor proxy y el otro del portal cautivo de tal manera de que si por algun motivo pueden pasar el portal no podran navegar ya que configurando el proxy dar el servicio aun determinado ip otro no podra antrar sin antes saber que rango tiene.... y por ultimo si ya pues queremos mucha mas seguridad bueno trabajar con subredes, y brazilfw que tambien es una buena alternativa -
:) hola.
ya uno de los desarrolladores contesto.
al parecer solo se tiene que crear una regla en la subred que impida la conexion directa al puerto del proxy transparente.al realizar la prueba de dicha regla les comento.