Proxy Autenticado + Impressoras CUPS(Resolvido)



  • Bom dia

    Estou implantando pfsense com proxy autenticado com usuario local do squid, porem uso cups e alguns cups não é da rede interna, tipo faz uma ponte pra da loja A eu poder imprimir na loja B, porem quando ativo o proxy autenticado essas impressoras ficam como acesso negado e já não consigo mais imprimir nelas, desativo o proxy e tudo volta ao normal.

    alguem pode me dar uma luz?

    abs e dede já agradeço

    Souza Linux



  • Tente criar uma acl antes da acl que autentica com os ips das impressoras.

    Ou liberar as impressoras para não passar pelo proxy.



  • Criei uma ALiases chamado cups com os ips dos cups de fora da empresa e liberei como está aqui

    mas mesmo assim não vai

    sobre a acl como fazer isso

    abs




  • como você esta usando o squid?

    modo transparente não autentica, certo?



  • Estou usando ele autenticado com user local

    até coloquei acl safeports e sslports a porta 631 e 515 lpr

    mas não rolou



  • Preciso entender melhor sua configuração.

    squid 3128

    cups 631 e 515 e 80?

    como pode um serviço atrapalhar o outro? são portas diferentes.



  • @souzalinux:

    Estou usando ele autenticado com user local
    até coloquei acl safeports e sslports a porta 631 e 515 lpr
    mas não rolou

    Execute um teste "bem simples"… vá até o browser das estações (IE - que o Windows segue segamente na hora de estabelecer conexões TCP/HTTP) e insira a sua rede interna nas exceções.

    Veja um exemplo de como fazer isso na tela em anexo (partindo do pressuposto que a sua rede LAN seja 192.168.0.0/24, claro. Se não for, adapte).

    Abraços!
    Jack




  • Não seria mais fácil criar regras no Firewall para permitir o trafego por essas portas sem passar pelo Squid?



  • @JackL

    Obrigado a todos mas colocar a regra para rede logal no proxy resolveu

    abs



  • @LFCavalcanti:

    Não seria mais fácil criar regras no Firewall para permitir o trafego por essas portas sem passar pelo Squid?

    Seria LFCavalcanti…

    O problema é que, não raras vezes (principalmente em impressoras de rede), a porta de impressão é configurada através de uma conexão HTTP no Windows/Linux. Como o colega está usando proxy autenticado, todas as conexões HTTP/HTTPS (dentre outras) são direcionadas pela estação diretamente para o Squid (na porta em que o serviço está rodando no pfSense - TCP/3128). Por isso, simplesmente uma rule no firewall não resolve.

    De duas uma, ou você configura a exceção na estação (como mostrei no outro post) ou cria uma regra específica para a rede local no Squid (como fez o souzalinux)!

    Abraços!
    Jack



  • @souzalinux:

    …colocar a regra para rede logal no proxy resolveu

    Legal souzalinux,

    Seria bacana, se possível, que você colocasse aqui no tópico um screenshot da sua configuração para ajudar eventuais colegas que venham a ter a mesma dúvida no futuro!

    Abraços!
    Jack



  • @JackL

    Fiz exatamente o que você colocou no post, adicionei a rede nas configurações de proxy na GPO e resolveu.

    è que aqui são 20 lojas cada uma com seu CUPS conectado no cups da matrix ai que pegou fogo.

    mas qualquer coisa estamos ai, fico conectado neste forum o dia todo.

    abs e muito obrigado



  • @souzalinux:

    Fiz exatamente o que você colocou no post, adicionei a rede nas configurações de proxy na GPO e resolveu.

    Legal souzalinux,

    É sempre bacana tentarmos colocar o máximo de informações de retorno/feedback quando resolvemos as "pendengas". Isso garante menos caracteres digitados em futuros posts do gênero! ;)

    No seu caso, você conseguiu fazer em função de GPO de um Active Directory presente na sua rede, certo?

    Fica a dica a eventuais dúvidas do tipo!

    Abraços!
    Jack



  • O que ele fez foi modificar ou adicionar uma GPO que força a rede como segura nas estações.

    Eu pessoalmente ainda considero essa solução perigosa, pois Malwares e Bots como o Downaup(Cofricker) podem se alastrar facilmente na rede.

    Analizando o caso, talvez uma VPN entre as empresas, colocando um Range especifica para os Servidores CUPs seria mais seguro, com isso você pode criar regras especificas de redirecionamento de porta sem atrapalhar o Squid.

    Exemplo:

    • Criar uma regra de Firewall que permita a passagem das portas da subrede das estações para a subrede do Cups, incluindo a porta 80.

    Como o Gateway padrão é o Squid, não haverá problema com a filtragem de conteudo.



  • @LFCavalcanti:

    O que ele fez foi modificar ou adicionar uma GPO que força a rede como segura nas estações.

    Bem, se foi isso que o colega executou, não era a ideia. ???

    A ideia é apenas não usar proxy (cachê) em conexões internas (para evitar problemas com o serviço de impressão).

    Entende-se por rede interna as redes frias do colega (VPN ou local)! ;)

    Abraços!
    Jack



  • Falha minha, entendi errado, tentei editar a postagem não deixa.

    Para criar a tal GPO, no Windows Server 2008:

    1- Iniciar>Ferramentas Administrativas>Gerenciameto de Diretiva de Grupo
    2- Crie uma nova GPO
    3- Abra as Propriedades da GPO
    4- Vá em Configurações do Usuário > Diretivas > Configurações do Windows > Manutençao do Internet Explorer > Conexão
    5- Clique duas vezes em "Configurações de Proxy"
    6- Coloque o IP e Porta do Proxy, selecione a opção "Não usar o Servidor Proxy para endereços locais".
    7- Salve e vincule a GPO com a OU onde estão os usuários que utilizarão o Proxy.



  • Show of ball LFCavalcanti!

    É isso aí… pra quem tem um AD Windows na rede, fica a dica de automatização da configuração. Aliás, sugestivamente, acho que você poderia escrever até um pequeno tutorial no nosso blog sobre isso LFCavalcanti! ;)

    Esta é uma dúvida bem recorrente aqui no fórum!

    Abraços!
    Jack


Locked