Direcionar trafego para a porta 3128 do squid [RESOLVIDO]

ricardodru

Senhores,
Começei a utilizar o pfsense como firewall e proxy da rede, mas estou com algumas duvidas.
Quando altero as configurações do squid, desmarco a opção de proxy transparente, os usuários continuam a navegar sem nenhum tipo de bloqueio.
As minhas regras do firewall "Rules", não possui nenhuma regra cadastrada.

Vejo que o pfsense faz automaticamente o direcionamento do trafego na porta 80, para a 3128, mas nao vejo onde esta esta regra.

Estou perguntando isso, porque fiz alguns testes para o squid autenticar no AD (como não estou conseguindo fazer isso, irei postar outro topico), e ao desmarcar a opção "proxy transparent", o acesso fica liberado, só pedi login e senha quando habilito o proxy no navegador.

Pergunta:
Como faço as regras de firewall para direcionar os trafegos vindo das portas 80 e 443 para a porta 3128 do squid ?
Qual a regra para que o usuário nao navegue na internet configurando o navegador, para utilizar outro proxy qualquer ?
Estou utilizando a versão 2.0 RC3

Obrigado!

johnnybe

Ricardo,
Adicione uma nova regra do firewall na Lan, conforme imagem abaixo.
Contudo, uma vez que o Squid está em modo transparente, isso não vai impedir
que um usuário mais espertinho configure o navegador para acessar um proxy externo
que utilize outra porta além da 3128, conforme você pode checar neste post:
http://forum.pfsense.org/index.php/topic,38881.0.html

Tenha em mente aquela regra default na Lan: tudo que se origina da Lan net, de qualquer porta,
para qualquer destino, é permitido. Por isso a adição da nova regra antes da regra default.
Para certos ambientes, o ideal é desabilitar a regra default e abrir apenas as portas necessárias.

Editado para correção de engano na regra.

ricardodru

Johnnybe
Obrigado pela ajuda.
Tentei fazer conforme sua instrução, mas ao desabilitar o proxy transparente, os usuários navegam a full, sem nenhum bloqueio

Estou anexando a copia da tela onde mostra as regras do firewall. Assim poderia analisar o que esta errado.
Obrigado!


johnnybe

Oooppsss, desculpe-me. Cometi um engano nas regras anteriores. Editei o post trocando a imagem das regras e fiz um teste rápido aqui.
Funcionou.
Tente mais uma vez, seguindo as regras conforme imagem editada.
Pare o squid e seja rápido para tentar acesso. Na nova versão o squid, uma vez parado,
reinicia rapidamente. Leva menos de um minuto para ele reiniciar.

ricardodru

@johnnybe:

Oooppsss, desculpe-me. Cometi um engano nas regras anteriores. Editei o post trocando a imagem das regras e fiz um teste rápido aqui.
Funcionou.
Tente mais uma vez, seguindo as regras conforme imagem editada.
Pare o squid e seja rápido para tentar acesso. Na nova versão o squid, uma vez parado,
reinicia rapidamente. Leva menos de um minuto para ele reiniciar.

johnnybe
Me desculpe a demora em responder.
Acabei de fazer um teste conforme o exemplo que vc me enviou, mas ao desmarcar o "proxy transparente", a navegação fica a full, sem bloqueio.
Veja a tela, com as minhas regras de firewall.
Obrigado!

johnnybe

Vou fazer uns testes aqui. Antes disso, tente trocar Wan net por *, ou seja, qualquer destino.

johnnybe

Testes feitos e funciona conforme regras da imagem abaixo.
Porém, há algumas considerações:

Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host)
a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo
transparente ou não!

Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da
Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que,
ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80
quando o navegador estiver sem configuração de proxy.
Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy.

Daí aquilo que falei antes:
Uma vez que o Squid está em modo transparente, isso não vai impedir
que um usuário mais espertinho configure o navegador para acessar um proxy externo
que utilize outra porta além da 3128.

ricardodru

johnnybe, faltou postar a imagem de como ficou as regras que vc testou.
Estive pesquisando e encontrei um tutorial neste link:

http://gelson.iyd.com.br/?p=155

Neste artigo esta descrito que o trafego será redicionado para a porta do squid que escuta na 8080.
Analisando minhas regras, percebi que nao possui aquela regrinha basica onde bloqueia tudo, e depois vai liberando o que precisa.

Talvez eu só vou conseguir testar na segunda feira, dai postarei os resultados.
Obrigado por enquanto.

johnnybe

@ricardodru:

johnnybe, faltou postar a imagem de como ficou as regras que vc testou.

Foi mesmo. Eu estava dando um suporte a cliquei Post por acidente.
Já corrigi.
Desculpe-me.

johnnybe

@ricardodru:

Estive pesquisando e encontrei um tutorial neste link:

http://gelson.iyd.com.br/?p=155

Neste artigo esta descrito que o trafego será redicionado para a porta do squid que escuta na 8080.
Analisando minhas regras, percebi que nao possui aquela regrinha basica onde bloqueia tudo, e depois vai liberando o que precisa.

Se funcionar… apenas, e apenas dessa maneira cujo link vc postou acima, avise. Por que no meu entendimento é pra funcionar independente da porta que você coloca o Squid pra escutar. Desde que não seja uma porta em conflito com outro aplicativo.

ricardodru

johnnybe
Fiz conforme suas instruções, e funcionou muito bem.
A porta do squid continua na padrão 3128.
Quando desativo o proxy transparente, não é possivel navegar até setarem as configurações de proxy no navegador.
Obrigado pela ajuda !
Abraços

johnnybe

Fico contente em ter ajudado.
Por favor, edite seu Post e coloque Resolvido após o assunto. Isso ajuda quem procura (search).
Valeu.

digilabtec

Olá Amigos sou novo aqui no sistema mais acho que perante a todas as dúvidas que foram apresentadas acima o ponto culminante para que estas regras funcionem é não observar se DNS FORWARDER está ou não habilitado, pois se o mesmo estiver não importa a regra que seja colocada em RULES / NAT o serviço de DNS será enviado as maquinas da rede local mesmo que o DNS não seja informado nas configurações da placa de rede.

Bom apenas queria compartilhar com todos pois depois de quebrar a cabeça revirar a internet acabei sem querer desabilitando DNS FORWARDER e todas as regras das telas acima acabaram funcionando e hoje eu tenho como unica forma de acesso a internet na maquina locais o serviço proxy.

Agradesço a ajuda de todos e intero que realmente a primeirro momento o PFsense é muito bom mesmo.

marcelloc

digilabtec,

Apesar do seu serviço de proxy estar funcionando, suas regras da lan estão incorretas.

source port e dest port nao significa redirecionamento.

As regras de firewall no pfsense são analisadas na sequencia, portanto depois da regra que bloqueia a lan net, nenhuma outra será considerada.

O dns forwarder que você se referiu deveria estar atrapalhando a resolução local de nomes da maquina e não as regras de firewall.

Da uma olhada no docs.pfsense.com ou ate mesmo nos tutoriais deste forum para se aprofundar melhor nas configurações e possibilidades do pfsense.

Nota:
A primeira vista o pfsense é bom mesmo, a partir da segunda é melhor ainda ;)

att,
Marcello Coutinho

Daniiel.Batista

@johnnybe:

Testes feitos e funciona conforme regras da imagem abaixo.
Porém, há algumas considerações:

Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host)
a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo
transparente ou não!

Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da
Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que,
ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80
quando o navegador estiver sem configuração de proxy.
Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy.

Daí aquilo que falei antes:
Uma vez que o Squid está em modo transparente, isso não vai impedir
que um usuário mais espertinho configure o navegador para acessar um proxy externo
que utilize outra porta além da 3128.

johnnybe desculpa a minha pergunta, se for ignorante, releve por favor, para direcionar as portas 80 e 443 para o Squid basta fazer esse tipo de configuração?

Fiz de uma forma um pouco diferente, criei duas regras, cada uma para cada porta e a princípio não funcionou, deixei-as respectivamente como sendo a segunda e terceira regra, apenas abaixo da regra que libero tudo para alguns IPs

Existem outras regras já funcionando (Bloqueio do MSN Messenger, GTalk, Facebook), o Facebook está sendo bloqueando agora pelos IPs das networks que ele possui, mas isso muda com o tempo e tem alguns outros sites na minha blacklist do squid que está bloqueando para a porta 80 e passando para a porta 443 (HTTPS)

Precisaria que os domínios que coloquei no Squid fossem bloqueados tanto para o http quanto para o https, o proxy está inserido em cada máquina, não preciso dele transparente. Caso tenha algo errado com as regras me informe, e ratifique se o bloqueio do http e https poelas geras é válido apenas para os domínios do Squid

Atenciosamente