Proxy Autenticado + Impressoras CUPS(Resolvido)

souzalinux

Bom dia

Estou implantando pfsense com proxy autenticado com usuario local do squid, porem uso cups e alguns cups não é da rede interna, tipo faz uma ponte pra da loja A eu poder imprimir na loja B, porem quando ativo o proxy autenticado essas impressoras ficam como acesso negado e já não consigo mais imprimir nelas, desativo o proxy e tudo volta ao normal.

alguem pode me dar uma luz?

abs e dede já agradeço

Souza Linux

marcelloc

Tente criar uma acl antes da acl que autentica com os ips das impressoras.

Ou liberar as impressoras para não passar pelo proxy.

souzalinux

Criei uma ALiases chamado cups com os ips dos cups de fora da empresa e liberei como está aqui

mas mesmo assim não vai

sobre a acl como fazer isso

abs

rules.png_thumb

marcelloc

como você esta usando o squid?

modo transparente não autentica, certo?

souzalinux

Estou usando ele autenticado com user local

até coloquei acl safeports e sslports a porta 631 e 515 lpr

mas não rolou

marcelloc

Preciso entender melhor sua configuração.

squid 3128

cups 631 e 515 e 80?

como pode um serviço atrapalhar o outro? são portas diferentes.

JackL

@souzalinux:

Estou usando ele autenticado com user local
até coloquei acl safeports e sslports a porta 631 e 515 lpr
mas não rolou

Execute um teste "bem simples"… vá até o browser das estações (IE - que o Windows segue segamente na hora de estabelecer conexões TCP/HTTP) e insira a sua rede interna nas exceções.

Veja um exemplo de como fazer isso na tela em anexo (partindo do pressuposto que a sua rede LAN seja 192.168.0.0/24, claro. Se não for, adapte).

Abraços!
Jack

sem_proxy_rede_interna.png_thumb

LFCavalcanti

Não seria mais fácil criar regras no Firewall para permitir o trafego por essas portas sem passar pelo Squid?

souzalinux

@JackL

Obrigado a todos mas colocar a regra para rede logal no proxy resolveu

abs

JackL

@LFCavalcanti:

Não seria mais fácil criar regras no Firewall para permitir o trafego por essas portas sem passar pelo Squid?

Seria LFCavalcanti…

O problema é que, não raras vezes (principalmente em impressoras de rede), a porta de impressão é configurada através de uma conexão HTTP no Windows/Linux. Como o colega está usando proxy autenticado, todas as conexões HTTP/HTTPS (dentre outras) são direcionadas pela estação diretamente para o Squid (na porta em que o serviço está rodando no pfSense - TCP/3128). Por isso, simplesmente uma rule no firewall não resolve.

De duas uma, ou você configura a exceção na estação (como mostrei no outro post) ou cria uma regra específica para a rede local no Squid (como fez o souzalinux)!

Abraços!
Jack

JackL

@souzalinux:

…colocar a regra para rede logal no proxy resolveu

Legal souzalinux,

Seria bacana, se possível, que você colocasse aqui no tópico um screenshot da sua configuração para ajudar eventuais colegas que venham a ter a mesma dúvida no futuro!

Abraços!
Jack

souzalinux

@JackL

Fiz exatamente o que você colocou no post, adicionei a rede nas configurações de proxy na GPO e resolveu.

è que aqui são 20 lojas cada uma com seu CUPS conectado no cups da matrix ai que pegou fogo.

mas qualquer coisa estamos ai, fico conectado neste forum o dia todo.

abs e muito obrigado

JackL

@souzalinux:

Fiz exatamente o que você colocou no post, adicionei a rede nas configurações de proxy na GPO e resolveu.

Legal souzalinux,

É sempre bacana tentarmos colocar o máximo de informações de retorno/feedback quando resolvemos as "pendengas". Isso garante menos caracteres digitados em futuros posts do gênero! ;)

No seu caso, você conseguiu fazer em função de GPO de um Active Directory presente na sua rede, certo?

Fica a dica a eventuais dúvidas do tipo!

Abraços!
Jack

LFCavalcanti

O que ele fez foi modificar ou adicionar uma GPO que força a rede como segura nas estações.

Eu pessoalmente ainda considero essa solução perigosa, pois Malwares e Bots como o Downaup(Cofricker) podem se alastrar facilmente na rede.

Analizando o caso, talvez uma VPN entre as empresas, colocando um Range especifica para os Servidores CUPs seria mais seguro, com isso você pode criar regras especificas de redirecionamento de porta sem atrapalhar o Squid.

Exemplo:

Criar uma regra de Firewall que permita a passagem das portas da subrede das estações para a subrede do Cups, incluindo a porta 80.

Como o Gateway padrão é o Squid, não haverá problema com a filtragem de conteudo.

JackL

@LFCavalcanti:

O que ele fez foi modificar ou adicionar uma GPO que força a rede como segura nas estações.

Bem, se foi isso que o colega executou, não era a ideia. ???

A ideia é apenas não usar proxy (cachê) em conexões internas (para evitar problemas com o serviço de impressão).

Entende-se por rede interna as redes frias do colega (VPN ou local)! ;)

Abraços!
Jack

LFCavalcanti

Falha minha, entendi errado, tentei editar a postagem não deixa.

Para criar a tal GPO, no Windows Server 2008:

1- Iniciar>Ferramentas Administrativas>Gerenciameto de Diretiva de Grupo
2- Crie uma nova GPO
3- Abra as Propriedades da GPO
4- Vá em Configurações do Usuário > Diretivas > Configurações do Windows > Manutençao do Internet Explorer > Conexão
5- Clique duas vezes em "Configurações de Proxy"
6- Coloque o IP e Porta do Proxy, selecione a opção "Não usar o Servidor Proxy para endereços locais".
7- Salve e vincule a GPO com a OU onde estão os usuários que utilizarão o Proxy.

JackL

Show of ball LFCavalcanti!

É isso aí… pra quem tem um AD Windows na rede, fica a dica de automatização da configuração. Aliás, sugestivamente, acho que você poderia escrever até um pequeno tutorial no nosso blog sobre isso LFCavalcanti! ;)

Esta é uma dúvida bem recorrente aqui no fórum!

Abraços!
Jack