Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Conectividade social

    Scheduled Pinned Locked Moved Portuguese
    17 Posts 4 Posters 10.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      Itg
      last edited by

      Pessoal, como liberar esta aplicação chata da caixa econômica no pfSense ? Pior que neste cliente o Access Rule está com todas as portas de saída abertas "ANY".

      Está usando proxy transparente.

      Agradeço !

      1 Reply Last reply Reply Quote 0
      • JackLJ
        JackL
        last edited by

        @ivanildogalvao:

        Pessoal, como liberar esta aplicação chata da caixa econômica no pfSense ? Pior que neste cliente o Access Rule está com todas as portas de saída abertas "ANY".
        Está usando proxy transparente.

        Insira no "Bypass proxy for these destination IPs" da configuração do ProxyServer as redes da CEF:

        200.201.173.0/24
        200.201.174.0/24

        Outra possibilidade é encabeçar uma regra no seu "Firewall->Rules->Lan", dizendo que qualquer conexão (de qualquer protocolo) com destino as redes mencionadas acima estão liberadas (isso antes da regra onde vc libera conexões HTTP).

        Este tipo de aplicação não admite conexões cacheadas! ;-)

        Abraços!
        Jack

        Treinamentos de Elite: http://sys-squad.com
        Soluções: https://conexti.com.br

        1 Reply Last reply Reply Quote 0
        • I
          Itg
          last edited by

          OK, acabei de fazer isso no campo: "Bypass proxy for these destination IPs"
          Tenho que marcar opção: "Do not forward traffic to Private Address Space (RFC 1918) destination through the proxy server but directly through the firewall."

          Eu cheguei a colocar os IPS e domínio no "Access Control" na tela do Proxy, o arquivo de configuração ficou assim:

          Setup some default acls

          acl all src 0.0.0.0/0.0.0.0
          acl localhost src 127.0.0.1/255.255.255.255
          acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
          acl sslports port 443 563 
          acl manager proto cache_object
          acl purge method PURGE
          acl connect method CONNECT
          acl dynamic urlpath_regex cgi-bin ?
          acl allowed_subnets src 200.201.173.0/24 200.201.174.0/24
          acl whitelist dstdom_regex -i '/var/squid/acl/whitelist.acl'
          cache deny dynamic
          http_access allow manager localhost

          Isso resolveria também ?

          Obrigado !

          1 Reply Last reply Reply Quote 0
          • JackLJ
            JackL
            last edited by

            @ivanildogalvao:

            OK, acabei de fazer isso no campo: "Bypass proxy for these destination IPs"
            Tenho que marcar opção: "Do not forward traffic to Private Address Space (RFC 1918) destination through the proxy server but directly through the firewall."
            Eu cheguei a colocar os IPS e domínio no "Access Control" na tela do Proxy, o arquivo de configuração ficou assim:

            Setup some default acls

            acl all src 0.0.0.0/0.0.0.0
            acl localhost src 127.0.0.1/255.255.255.255
            acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
            acl sslports port 443 563 
            acl manager proto cache_object
            acl purge method PURGE
            acl connect method CONNECT
            acl dynamic urlpath_regex cgi-bin ?
            acl allowed_subnets src 200.201.173.0/24 200.201.174.0/24
            acl whitelist dstdom_regex -i '/var/squid/acl/whitelist.acl'
            cache deny dynamic
            http_access allow manager localhost

            Isso resolveria também ?

            Não, não resolveria. Veja que a questão não está no bloqueio de URLs ou domínios. Você precisa fazer com que este tipo de conexão se quer seja encaminhada para o SQUID. Estas aplicações EXIGEM acesso direto por parte das máquinas clientes, sem que passe por qualquer proxy antes. Entende?

            Abraços!
            Jack

            Treinamentos de Elite: http://sys-squad.com
            Soluções: https://conexti.com.br

            1 Reply Last reply Reply Quote 0
            • I
              Itg
              last edited by

              Há, entendi.

              Bem, marquei lá o campo "Bypass proxy for Private Address Space (RFC 1918) destination" e coloquei os IPS no campo "Bypass proxy for these destination IPs".

              Mandei um e-mail para o cliente pedindo para ele testar, estou aguardando, ja ja digo algo aqui.

              Valeu !

              1 Reply Last reply Reply Quote 0
              • I
                Itg
                last edited by

                Não deu certo :( Continua dando erro, mas especificamente "Erro na troca da chave com o Gateway", bem, algo assim.

                O que pode ser ?

                Valeu !

                1 Reply Last reply Reply Quote 0
                • S
                  sachelaride
                  last edited by

                  Tem relatos no forum que funciona

                  nao testei, da uma verificada

                  http://forum.pfsense.org/index.php/topic,9586.0.html

                  Att.

                  German Sachelaride

                  1 Reply Last reply Reply Quote 0
                  • JackLJ
                    JackL
                    last edited by

                    @sachelaride:

                    Tem relatos no forum que funciona
                    nao testei, da uma verificada
                    http://forum.pfsense.org/index.php/topic,9586.0.html

                    Você pode fazer exatamente como o colega @sachelaride sugeriu. Pode tentar colocar as redes citadas no post em questão no byproxy destination também (não sou fã nem aconselho a mexer diretamente em arquivos de conf. no PFSense).

                    Outra solução é cadastrar os IPs das máquinas clientes que precisam acessar a Conectividade Social em "Bypass proxy for these source IPs".

                    Abraços!
                    Jack

                    Treinamentos de Elite: http://sys-squad.com
                    Soluções: https://conexti.com.br

                    1 Reply Last reply Reply Quote 0
                    • I
                      Itg
                      last edited by

                      É, também não quero mexer no conf, ainda mais que estou mexendo remotamente no pfsense do cliente, se der pau eu teria que correr até lá, quero não :)

                      Bem, mantive os IPS da conectividade social em "Bypass proxy for these destination IPs" e adicionei das máquinas LAN que usam a conectividade em "Bypass proxy for these source IPs"

                      Antes tinha pedido ao cliente para ir no internet explorer, conexões e marcar aquela opção "não usar proxy para endereços que começam com" mandei colocar os IPS da caixa, será que isso seria também uma solução ?

                      Obrigado senhores !

                      1 Reply Last reply Reply Quote 0
                      • JackLJ
                        JackL
                        last edited by

                        @ivanildogalvao:

                        É, também não quero mexer no conf, ainda mais que estou mexendo remotamente no pfsense do cliente, se der pau eu teria que correr até lá, quero não :)
                        Bem, mantive os IPS da conectividade social em "Bypass proxy for these destination IPs" e adicionei das máquinas LAN que usam a conectividade em "Bypass proxy for these source IPs"
                        Antes tinha pedido ao cliente para ir no internet explorer, conexões e marcar aquela opção "não usar proxy para endereços que começam com" mandei colocar os IPS da caixa, será que isso seria também uma solução ?

                        A priori, colocando os ips das máquinas clientes em "Bypass proxy for these source IPs" este problema está resolvido. But, esta é uma solução "emergencial", já que estes clientes não passarão mais pelo proxy - logo, não terão restrições para navegação HTTP também (imagino que não seja o que vc quer, né?).

                        Abraços!
                        Jack

                        Treinamentos de Elite: http://sys-squad.com
                        Soluções: https://conexti.com.br

                        1 Reply Last reply Reply Quote 0
                        • I
                          Itg
                          last edited by

                          Pois é, mas como são apenas duas máquinas não será muito problema, até porque não tem outro jeito.
                          Mas, infelizmente o cliente me ligou informando que o problema persiste, agora estou ficando encabulado, pois ja botei os IPS da LAN no By-pass, tudo direitinho. O fato do proxy está marcado como transparente interfere ?

                          Valeu !

                          1 Reply Last reply Reply Quote 0
                          • JackLJ
                            JackL
                            last edited by

                            @ivanildogalvao:

                            Pois é, mas como são apenas duas máquinas não será muito problema, até porque não tem outro jeito.
                            Mas, infelizmente o cliente me ligou informando que o problema persiste, agora estou ficando encabulado, pois ja botei os IPS da LAN no By-pass, tudo direitinho. O fato do proxy está marcado como transparente interfere ?

                            Se você colocou os IPs das máquinas clientes no "Bypass proxy for these source IPs" (veja que é no source, não no destination) e tem a porta 80 liberada em "Firewall->Rules->Lan", com o squid no modo transparent, não se preocupe… vai dar certo!

                            Nota importante: O Conectividade Social tem disso… as vezes (períodos do dia e do mês), o sistema simplesmente não funciona. Peça para o pessoal esperar um pouco e tentar mais tarde.

                            Abraços!
                            Jack

                            Treinamentos de Elite: http://sys-squad.com
                            Soluções: https://conexti.com.br

                            1 Reply Last reply Reply Quote 0
                            • I
                              Itg
                              last edited by

                              Ôpa, acabaram de me ligar dizendo que deu certo :) :) :), fiz conforme está nesta imagem http://twitpic.com/6e3p4i

                              Bem, desta forma estas máquinas agora acessam a internet se qualquer restrição, correto ? Como remediar isso, ehehhehhee, la vem mais bronca, ajeita uma coisa e aleija outra.

                              Mas porque colocando somente os IPS da conectividade social em "Bypass proxy for these destination IPs" não deu certo ? Seria melhor, pois não liberaria as máquinas para passar fora do Proxy.

                              Valeu, obrigadão pelo apoio.

                              1 Reply Last reply Reply Quote 0
                              • JackLJ
                                JackL
                                last edited by

                                @ivanildogalvao:

                                Bem, desta forma estas máquinas agora acessam a internet se qualquer restrição, correto ? Como remediar isso, ehehhehhee, la vem mais bronca, ajeita uma coisa e aleija outra.

                                É isso mesmo… estas máquinas, a partir de agora, estão livre, leve e soltas na internet! :S

                                Mas porque colocando somente os IPS da conectividade social em "Bypass proxy for these destination IPs" não deu certo ? Seria melhor, pois não liberaria as máquinas para passar fora do Proxy.

                                Coloque na configuração "Bypass proxy for these destination IPs" as redes:

                                200.201.173.0/24;200.201.174.0/24

                                Crie uma regra no seu "Firewall->Rules->Lan", ANTES da regra em que libera o acesso HTTP (de preferência como a primeira regra) liberando qualquer conexão (qualquer protocolo) com destino as redes citadas acima. Isso deve resolver!

                                Nota: Não esqueça de marcar "Do NOT proxy Private Address Space (RFC 1918)"

                                Abraços!
                                Jack

                                Treinamentos de Elite: http://sys-squad.com
                                Soluções: https://conexti.com.br

                                1 Reply Last reply Reply Quote 0
                                • I
                                  Itg
                                  last edited by

                                  Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard.
                                  Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ?

                                  Se eu colocar apenas:

                                  **Coloque na configuração "Bypass proxy for these destination IPs" as redes:

                                  200.201.173.0/24;200.201.174.0/24**

                                  E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo.

                                  Valeu !

                                  1 Reply Last reply Reply Quote 0
                                  • K
                                    klamath
                                    last edited by

                                    Estou acompanhando o tópico, tenho um cliente com esse aplicativo online da caixa e ele me relata que está funcionando normal!
                                    uso as blacklists do SquidGuard r não fiz qq modificação nas regras do proxy ou firewall!
                                    pq com uns funcionam e outros não?

                                    HP ProLiant MicroServer N40L - 2GB - 250G HD - 3 NIC Intel PRO/1000 MT Gigabit PCI
                                    pfSense 2.0.1-RELEASE (amd64)

                                    1 Reply Last reply Reply Quote 0
                                    • JackLJ
                                      JackL
                                      last edited by

                                      @ivanildogalvao:

                                      Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard.
                                      Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ?
                                      Se eu colocar apenas:
                                      Coloque na configuração "Bypass proxy for these destination IPs" as redes:
                                      200.201.173.0/24;200.201.174.0/24

                                      E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo.

                                      Sim… Basicamente seria isso!
                                      Aliás, isso vai ao encontro do que o colega @sachelaride te sugeriu e está descrito neste post: http://forum.pfsense.org/index.php/topic,9586.msg55700.html#msg55700

                                      Em teoria, ao fazer o ByPass Destination, o PFSense escreveria dentro do arquivo "squid.inc" conforme proposto no link acima. Contudo, não sei como isso está no update do teu PFSense. Seria bacana testar (ver o conteúdo do arquivos "squid.inc" depois de vc realizar o ByPass Destination).

                                      Abraços!
                                      Jack

                                      Treinamentos de Elite: http://sys-squad.com
                                      Soluções: https://conexti.com.br

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.