Direcionar trafego para a porta 3128 do squid [RESOLVIDO]



  • Senhores,
    Começei a utilizar o pfsense como firewall e proxy da rede, mas estou com algumas duvidas.
    Quando altero as configurações do squid, desmarco a opção de proxy transparente, os usuários continuam a navegar sem nenhum tipo de bloqueio.
    As minhas regras do firewall "Rules", não possui nenhuma regra cadastrada.

    Vejo que o pfsense faz automaticamente o direcionamento do trafego na porta 80, para a 3128, mas nao vejo onde esta esta regra.

    Estou perguntando isso, porque fiz alguns testes para o squid autenticar no AD (como não estou conseguindo fazer isso, irei postar outro topico), e ao desmarcar a opção "proxy transparent", o acesso fica liberado, só pedi login e senha quando habilito o proxy no navegador.

    Pergunta:
    Como faço as regras de firewall para direcionar os trafegos vindo das portas 80 e 443 para a porta 3128 do squid ?
    Qual a regra para que o usuário nao navegue na internet configurando o navegador, para utilizar outro proxy qualquer ?
    Estou utilizando a versão 2.0 RC3

    Obrigado!



  • Ricardo,
    Adicione uma nova regra do firewall na Lan, conforme imagem abaixo.
    Contudo, uma vez que o Squid está em modo transparente, isso não vai impedir
    que um usuário mais espertinho configure o navegador para acessar um proxy externo
    que utilize outra porta além da 3128, conforme você pode checar neste post:
    http://forum.pfsense.org/index.php/topic,38881.0.html

    Tenha em mente aquela regra default na Lan: tudo que se origina da Lan net, de qualquer porta,
    para qualquer destino, é permitido. Por isso a adição da nova regra antes da regra default.
    Para certos ambientes, o ideal é desabilitar a regra default e abrir apenas as portas necessárias.

    Editado para correção de engano na regra.




  • Johnnybe
    Obrigado pela ajuda.
    Tentei fazer conforme sua instrução, mas ao desabilitar o proxy transparente, os usuários navegam a full, sem nenhum bloqueio

    Estou anexando a copia da tela onde mostra as regras do firewall. Assim poderia analisar o que esta errado.
    Obrigado!

    ![Regras pfsense.png_thumb](/public/imported_attachments/1/Regras pfsense.png_thumb)
    ![Regras pfsense.png](/public/imported_attachments/1/Regras pfsense.png)



  • Oooppsss, desculpe-me. Cometi um engano nas regras anteriores. Editei o post trocando a imagem das regras e fiz um teste rápido aqui.
    Funcionou.
    Tente mais uma vez, seguindo as regras conforme imagem editada.
    Pare o squid e seja rápido para tentar acesso. Na nova versão o squid, uma vez parado,
    reinicia rapidamente. Leva menos de um minuto para ele reiniciar.



  • @johnnybe:

    Oooppsss, desculpe-me. Cometi um engano nas regras anteriores. Editei o post trocando a imagem das regras e fiz um teste rápido aqui.
    Funcionou.
    Tente mais uma vez, seguindo as regras conforme imagem editada.
    Pare o squid e seja rápido para tentar acesso. Na nova versão o squid, uma vez parado,
    reinicia rapidamente. Leva menos de um minuto para ele reiniciar.

    johnnybe
    Me desculpe a demora em responder.
    Acabei de fazer um teste conforme o exemplo que vc me enviou, mas ao desmarcar o "proxy transparente", a navegação fica a full, sem bloqueio.
    Veja a tela, com as minhas regras de firewall.
    Obrigado!




  • Vou fazer uns testes aqui. Antes disso, tente trocar Wan net por *, ou seja, qualquer destino.



  • Testes feitos e funciona conforme regras da imagem abaixo.
    Porém, há algumas considerações:

    Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host)
    a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo
    transparente ou não!

    Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da
    Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que,
    ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80
    quando o navegador estiver sem configuração de proxy.
    Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy.

    Daí aquilo que falei antes:
    Uma vez que o Squid está em modo transparente, isso não vai impedir
    que um usuário mais espertinho configure o navegador para acessar um proxy externo
    que utilize outra porta além da 3128.




  • johnnybe, faltou postar a imagem de como ficou as regras que vc testou.
    Estive pesquisando e encontrei um tutorial neste link:

    http://gelson.iyd.com.br/?p=155

    Neste artigo esta descrito que o trafego será redicionado para a porta do squid que escuta na 8080.
    Analisando minhas regras, percebi que nao possui aquela regrinha basica onde bloqueia tudo, e depois vai liberando o que precisa.

    Talvez eu só vou conseguir testar na segunda feira, dai postarei os resultados.
    Obrigado por enquanto.



  • @ricardodru:

    johnnybe, faltou postar a imagem de como ficou as regras que vc testou.

    Foi mesmo. Eu estava dando um suporte a cliquei Post por acidente.
    Já corrigi.
    Desculpe-me.



  • @ricardodru:

    Estive pesquisando e encontrei um tutorial neste link:

    http://gelson.iyd.com.br/?p=155

    Neste artigo esta descrito que o trafego será redicionado para a porta do squid que escuta na 8080.
    Analisando minhas regras, percebi que nao possui aquela regrinha basica onde bloqueia tudo, e depois vai liberando o que precisa.

    Se funcionar… apenas, e apenas dessa maneira cujo link vc postou acima, avise. Por que no meu entendimento é pra funcionar independente da porta que você coloca o Squid pra escutar. Desde que não seja uma porta em conflito com outro aplicativo.



  • johnnybe
    Fiz conforme suas instruções, e funcionou muito bem.
    A porta do squid continua na padrão 3128.
    Quando desativo o proxy transparente, não é possivel navegar até setarem as configurações de proxy no navegador.
    Obrigado pela ajuda !
    Abraços



  • Fico contente em ter ajudado.
    Por favor, edite seu Post e coloque Resolvido após o assunto. Isso ajuda quem procura (search).
    Valeu.



  • Olá Amigos sou novo aqui no sistema mais acho que perante a todas as dúvidas que foram apresentadas acima o ponto culminante para que estas regras funcionem é não observar se DNS FORWARDER está ou não habilitado, pois se o mesmo estiver não importa a regra que seja colocada em RULES / NAT o serviço de DNS será enviado as maquinas da rede local mesmo que o DNS não seja informado nas configurações da placa de rede.

    Bom apenas queria compartilhar com todos pois depois de quebrar a cabeça revirar a internet acabei sem querer desabilitando DNS FORWARDER e todas as regras das telas acima acabaram funcionando e hoje eu tenho como unica forma de acesso a internet na maquina locais o serviço proxy.

    Agradesço a ajuda de todos e intero que realmente a primeirro momento o PFsense é muito bom mesmo.




  • digilabtec,

    Apesar do seu serviço de proxy estar funcionando, suas regras da lan estão incorretas.

    source port e dest port nao significa redirecionamento.

    As regras de firewall no pfsense são analisadas na sequencia, portanto depois da regra que bloqueia a lan net, nenhuma outra será considerada.

    O dns forwarder que você se referiu deveria estar atrapalhando a resolução local de nomes da maquina e não as regras de firewall.

    Da uma olhada no docs.pfsense.com ou ate mesmo nos tutoriais deste forum para se aprofundar melhor nas configurações e possibilidades do pfsense.

    Nota:
    A primeira vista o pfsense é bom mesmo, a partir da segunda é melhor ainda ;)

    att,
    Marcello Coutinho



  • @johnnybe:

    Testes feitos e funciona conforme regras da imagem abaixo.
    Porém, há algumas considerações:

    Se você optar por utilizar a regra na Lan conforme abaixo, você estará obrigando qualquer cliente (host)
    a configurar o navegador para utilizar o proxy. Independente se o Squid está configurado para modo
    transparente ou não!

    Segundo minhas pesquisas, quando em modo transparente, o Squid redireciona qualquer requisição da
    Lan para Wan na porta 80 para a porta 3128. Isso independente do firewall. Você vai perceber que,
    ao utilizar a regra com * conforme a imagem que postei abaixo, o firewall vai bloquear o loopback na porta 80
    quando o navegador estiver sem configuração de proxy.
    Qualquer host que for utilizar a web vai precisar configurar o navegador para o proxy.

    Daí aquilo que falei antes:
    Uma vez que o Squid está em modo transparente, isso não vai impedir
    que um usuário mais espertinho configure o navegador para acessar um proxy externo
    que utilize outra porta além da 3128.

    johnnybe desculpa a minha pergunta, se for ignorante, releve por favor, para direcionar as portas 80 e 443 para o Squid basta fazer esse tipo de configuração?

    Fiz de uma forma um pouco diferente, criei duas regras, cada uma para cada porta e a princípio não funcionou, deixei-as respectivamente como sendo a segunda e terceira regra, apenas abaixo da regra que libero tudo para alguns IPs

    Existem outras regras já funcionando (Bloqueio do MSN Messenger, GTalk, Facebook), o Facebook está sendo bloqueando agora pelos IPs das networks que ele possui, mas isso muda com o tempo e tem alguns outros sites na minha blacklist do squid que está bloqueando para a porta 80 e passando para a porta 443 (HTTPS)

    Precisaria que os domínios que coloquei no Squid fossem bloqueados tanto para o http quanto para o https, o proxy está inserido em cada máquina, não preciso dele transparente. Caso tenha algo errado com as regras me informe, e ratifique se o bloqueio do http e https poelas geras é válido apenas para os domínios do Squid

    Atenciosamente



Log in to reply