Conectividade social



  • Pessoal, como liberar esta aplicação chata da caixa econômica no pfSense ? Pior que neste cliente o Access Rule está com todas as portas de saída abertas "ANY".

    Está usando proxy transparente.

    Agradeço !



  • @ivanildogalvao:

    Pessoal, como liberar esta aplicação chata da caixa econômica no pfSense ? Pior que neste cliente o Access Rule está com todas as portas de saída abertas "ANY".
    Está usando proxy transparente.

    Insira no "Bypass proxy for these destination IPs" da configuração do ProxyServer as redes da CEF:

    200.201.173.0/24
    200.201.174.0/24

    Outra possibilidade é encabeçar uma regra no seu "Firewall->Rules->Lan", dizendo que qualquer conexão (de qualquer protocolo) com destino as redes mencionadas acima estão liberadas (isso antes da regra onde vc libera conexões HTTP).

    Este tipo de aplicação não admite conexões cacheadas! ;-)

    Abraços!
    Jack



  • OK, acabei de fazer isso no campo: "Bypass proxy for these destination IPs"
    Tenho que marcar opção: "Do not forward traffic to Private Address Space (RFC 1918) destination through the proxy server but directly through the firewall."

    Eu cheguei a colocar os IPS e domínio no "Access Control" na tela do Proxy, o arquivo de configuração ficou assim:

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
    acl sslports port 443 563 
    acl manager proto cache_object
    acl purge method PURGE
    acl connect method CONNECT
    acl dynamic urlpath_regex cgi-bin ?
    acl allowed_subnets src 200.201.173.0/24 200.201.174.0/24
    acl whitelist dstdom_regex -i '/var/squid/acl/whitelist.acl'
    cache deny dynamic
    http_access allow manager localhost

    Isso resolveria também ?

    Obrigado !



  • @ivanildogalvao:

    OK, acabei de fazer isso no campo: "Bypass proxy for these destination IPs"
    Tenho que marcar opção: "Do not forward traffic to Private Address Space (RFC 1918) destination through the proxy server but directly through the firewall."
    Eu cheguei a colocar os IPS e domínio no "Access Control" na tela do Proxy, o arquivo de configuração ficou assim:

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
    acl sslports port 443 563 
    acl manager proto cache_object
    acl purge method PURGE
    acl connect method CONNECT
    acl dynamic urlpath_regex cgi-bin ?
    acl allowed_subnets src 200.201.173.0/24 200.201.174.0/24
    acl whitelist dstdom_regex -i '/var/squid/acl/whitelist.acl'
    cache deny dynamic
    http_access allow manager localhost

    Isso resolveria também ?

    Não, não resolveria. Veja que a questão não está no bloqueio de URLs ou domínios. Você precisa fazer com que este tipo de conexão se quer seja encaminhada para o SQUID. Estas aplicações EXIGEM acesso direto por parte das máquinas clientes, sem que passe por qualquer proxy antes. Entende?

    Abraços!
    Jack



  • Há, entendi.

    Bem, marquei lá o campo "Bypass proxy for Private Address Space (RFC 1918) destination" e coloquei os IPS no campo "Bypass proxy for these destination IPs".

    Mandei um e-mail para o cliente pedindo para ele testar, estou aguardando, ja ja digo algo aqui.

    Valeu !



  • Não deu certo :( Continua dando erro, mas especificamente "Erro na troca da chave com o Gateway", bem, algo assim.

    O que pode ser ?

    Valeu !



  • Tem relatos no forum que funciona

    nao testei, da uma verificada

    http://forum.pfsense.org/index.php/topic,9586.0.html

    Att.

    German Sachelaride



  • @sachelaride:

    Tem relatos no forum que funciona
    nao testei, da uma verificada
    http://forum.pfsense.org/index.php/topic,9586.0.html

    Você pode fazer exatamente como o colega @sachelaride sugeriu. Pode tentar colocar as redes citadas no post em questão no byproxy destination também (não sou fã nem aconselho a mexer diretamente em arquivos de conf. no PFSense).

    Outra solução é cadastrar os IPs das máquinas clientes que precisam acessar a Conectividade Social em "Bypass proxy for these source IPs".

    Abraços!
    Jack



  • É, também não quero mexer no conf, ainda mais que estou mexendo remotamente no pfsense do cliente, se der pau eu teria que correr até lá, quero não :)

    Bem, mantive os IPS da conectividade social em "Bypass proxy for these destination IPs" e adicionei das máquinas LAN que usam a conectividade em "Bypass proxy for these source IPs"

    Antes tinha pedido ao cliente para ir no internet explorer, conexões e marcar aquela opção "não usar proxy para endereços que começam com" mandei colocar os IPS da caixa, será que isso seria também uma solução ?

    Obrigado senhores !



  • @ivanildogalvao:

    É, também não quero mexer no conf, ainda mais que estou mexendo remotamente no pfsense do cliente, se der pau eu teria que correr até lá, quero não :)
    Bem, mantive os IPS da conectividade social em "Bypass proxy for these destination IPs" e adicionei das máquinas LAN que usam a conectividade em "Bypass proxy for these source IPs"
    Antes tinha pedido ao cliente para ir no internet explorer, conexões e marcar aquela opção "não usar proxy para endereços que começam com" mandei colocar os IPS da caixa, será que isso seria também uma solução ?

    A priori, colocando os ips das máquinas clientes em "Bypass proxy for these source IPs" este problema está resolvido. But, esta é uma solução "emergencial", já que estes clientes não passarão mais pelo proxy - logo, não terão restrições para navegação HTTP também (imagino que não seja o que vc quer, né?).

    Abraços!
    Jack



  • Pois é, mas como são apenas duas máquinas não será muito problema, até porque não tem outro jeito.
    Mas, infelizmente o cliente me ligou informando que o problema persiste, agora estou ficando encabulado, pois ja botei os IPS da LAN no By-pass, tudo direitinho. O fato do proxy está marcado como transparente interfere ?

    Valeu !



  • @ivanildogalvao:

    Pois é, mas como são apenas duas máquinas não será muito problema, até porque não tem outro jeito.
    Mas, infelizmente o cliente me ligou informando que o problema persiste, agora estou ficando encabulado, pois ja botei os IPS da LAN no By-pass, tudo direitinho. O fato do proxy está marcado como transparente interfere ?

    Se você colocou os IPs das máquinas clientes no "Bypass proxy for these source IPs" (veja que é no source, não no destination) e tem a porta 80 liberada em "Firewall->Rules->Lan", com o squid no modo transparent, não se preocupe… vai dar certo!

    Nota importante: O Conectividade Social tem disso… as vezes (períodos do dia e do mês), o sistema simplesmente não funciona. Peça para o pessoal esperar um pouco e tentar mais tarde.

    Abraços!
    Jack



  • Ôpa, acabaram de me ligar dizendo que deu certo :) :) :), fiz conforme está nesta imagem http://twitpic.com/6e3p4i

    Bem, desta forma estas máquinas agora acessam a internet se qualquer restrição, correto ? Como remediar isso, ehehhehhee, la vem mais bronca, ajeita uma coisa e aleija outra.

    Mas porque colocando somente os IPS da conectividade social em "Bypass proxy for these destination IPs" não deu certo ? Seria melhor, pois não liberaria as máquinas para passar fora do Proxy.

    Valeu, obrigadão pelo apoio.



  • @ivanildogalvao:

    Bem, desta forma estas máquinas agora acessam a internet se qualquer restrição, correto ? Como remediar isso, ehehhehhee, la vem mais bronca, ajeita uma coisa e aleija outra.

    É isso mesmo… estas máquinas, a partir de agora, estão livre, leve e soltas na internet! :S

    Mas porque colocando somente os IPS da conectividade social em "Bypass proxy for these destination IPs" não deu certo ? Seria melhor, pois não liberaria as máquinas para passar fora do Proxy.

    Coloque na configuração "Bypass proxy for these destination IPs" as redes:

    200.201.173.0/24;200.201.174.0/24

    Crie uma regra no seu "Firewall->Rules->Lan", ANTES da regra em que libera o acesso HTTP (de preferência como a primeira regra) liberando qualquer conexão (qualquer protocolo) com destino as redes citadas acima. Isso deve resolver!

    Nota: Não esqueça de marcar "Do NOT proxy Private Address Space (RFC 1918)"

    Abraços!
    Jack



  • Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard.
    Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ?

    Se eu colocar apenas:

    **Coloque na configuração "Bypass proxy for these destination IPs" as redes:

    200.201.173.0/24;200.201.174.0/24**

    E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo.

    Valeu !



  • Estou acompanhando o tópico, tenho um cliente com esse aplicativo online da caixa e ele me relata que está funcionando normal!
    uso as blacklists do SquidGuard r não fiz qq modificação nas regras do proxy ou firewall!
    pq com uns funcionam e outros não?



  • @ivanildogalvao:

    Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard.
    Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ?
    Se eu colocar apenas:
    Coloque na configuração "Bypass proxy for these destination IPs" as redes:
    200.201.173.0/24;200.201.174.0/24

    E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo.

    Sim… Basicamente seria isso!
    Aliás, isso vai ao encontro do que o colega @sachelaride te sugeriu e está descrito neste post: http://forum.pfsense.org/index.php/topic,9586.msg55700.html#msg55700

    Em teoria, ao fazer o ByPass Destination, o PFSense escreveria dentro do arquivo "squid.inc" conforme proposto no link acima. Contudo, não sei como isso está no update do teu PFSense. Seria bacana testar (ver o conteúdo do arquivos "squid.inc" depois de vc realizar o ByPass Destination).

    Abraços!
    Jack


Log in to reply