Proxy bloqueando navegação



  • Bom dia galera !

    Seguinte, tive um problema alguns dias atrás,  pois coloquei meu proxy como transparente… e não me atentei as minhas regras no AD.

    Nas regras do AD já eram setadas para o meu proxy, e depois que eu coloquei como transparente, ele começou a passar pelo squid e consegui fazer tudo... habilitar a blacklist, enfim...

    Meu problema hoje, é que todos que direcionam para minha porta 3128, não conseguem navegar, mas conseguem por ex. pingar o ip.

    Alguma idéia do que pode ser ??



  • @mateusbsi:

    Bom dia galera !
    Seguinte, tive um problema alguns dias atrás,  pois coloquei meu proxy como transparente… e não me atentei as minhas regras no AD.
    Nas regras do AD já eram setadas para o meu proxy, e depois que eu coloquei como transparente, ele começou a passar pelo squid e consegui fazer tudo... habilitar a blacklist, enfim...
    Meu problema hoje, é que todos que direcionam para minha porta 3128, não conseguem navegar, mas conseguem por ex. pingar o ip.
    Alguma idéia do que pode ser ??

    @mateusbsi,

    Confesso que o teu texto me deixou um pouco confuso sobre o vosso cenário. De todo modo, pelo que entendi você tinha GPOs ou configurações em nível de DHCP no seu Active Directory que configuravam automaticamente o endereço do webproxy nos browsers de equipamentos do domínio. É isso?

    Veja que o seu problema não está na configuração acima…
    Você precisa escolher como quer trabalhar com o SQUID... Se vai trabalhar  com ele em modo transparent (neste caso você não pode setar manualmente as configurações do proxy no browser) ou se vai trabalhar com ele em modo "não transparent" (aí sim, você pode configurar manualmente o IP do proxy em cada browser nas máquinas dos clientes ou utilizar a tática de pré-configuração via AD).

    O que não pode é você trabalhar com o SQUID em modo transparent e querer setar manualmente o proxy nos browsers. O SQUID não vai aceitar conexões direcionadas.

    Abraços!
    Jack



  • Exatamente JackL!
    Mas o lance eh… depois que eu fiz esta cagada, de menter os dois ativos... já os desativei.

    Mas qdo fiz isso (tirar o proxy transparente e colocar como regra no AD), o meu proxy, por algum motivo, não deixa ninguem navegar...

    .........

    :'(



  • @mateusbsi:

    Exatamente JackL!
    Mas o lance eh… depois que eu fiz esta cagada, de menter os dois ativos... já os desativei.
    Mas qdo fiz isso (tirar o proxy transparente e colocar como regra no AD), o meu proxy, por algum motivo, não deixa ninguem navegar...
    :'(

    Of course @mateusbsi!

    Se você não está mais rodando com o SQUID Transparent, precisa criar uma rule na sua LAN (Firewall->Rules->Lan) que aceite conexões HTTP a partir do próprio PFSense (veja tela em anexo). Do contrário, ninguém (inclusive o SQUID) consegue sair para a web!

    Abraços!
    Jack




  • JackL…

    no meu caso já estava configurado da seguinte forma ....

    Isso que estou achando estranho, não mudei nada nas regras, mas agora não funciona mais, antes funcionava !




  • @mateusbsi:

    JackL…
    no meu caso já estava configurado da seguinte forma ....
    Isso que estou achando estranho, não mudei nada nas regras, mas agora não funciona mais, antes funcionava !

    @mateusbsi,

    Veja que nesta sua regra você está liberando acesso total (com destino a qualquer porta, de qualquer protocolo) todos os PCs que fazem parte deste seu alias/rede (netLiberado net). Você precisa ter uma regra dizendo que qualquer conexão vinda do seu próprio PFSense (127.0.0.1 ou "LAN ADDRESS"), com destino à porta 80 (HTTP) está liberada (de preferência acima desta sua regra do screenshot).

    Abraços!
    Jack



  • Tenho essa aqui olha…

    mas nada feito.......




  • @mateusbsi:

    Tenho essa aqui olha…
    mas nada feito.......

    Não é "LAN Net"…
    É pra ser "LAN Address" = IP LAN do PFSense!

    Cuidado ao utilizar regras tão abertas assim (conforme tela que enviastes)… Isso faz com que TODO mundo da sua LAN possa tudo na WEB!

    Abraços!
    Jack


Log in to reply