Proxy Autenticado + Impressoras CUPS(Resolvido)
-
Bom dia
Estou implantando pfsense com proxy autenticado com usuario local do squid, porem uso cups e alguns cups não é da rede interna, tipo faz uma ponte pra da loja A eu poder imprimir na loja B, porem quando ativo o proxy autenticado essas impressoras ficam como acesso negado e já não consigo mais imprimir nelas, desativo o proxy e tudo volta ao normal.
alguem pode me dar uma luz?
abs e dede já agradeço
Souza Linux
-
Tente criar uma acl antes da acl que autentica com os ips das impressoras.
Ou liberar as impressoras para não passar pelo proxy.
-
Criei uma ALiases chamado cups com os ips dos cups de fora da empresa e liberei como está aqui
mas mesmo assim não vai
sobre a acl como fazer isso
abs
-
como você esta usando o squid?
modo transparente não autentica, certo?
-
Estou usando ele autenticado com user local
até coloquei acl safeports e sslports a porta 631 e 515 lpr
mas não rolou
-
Preciso entender melhor sua configuração.
squid 3128
cups 631 e 515 e 80?
como pode um serviço atrapalhar o outro? são portas diferentes.
-
Estou usando ele autenticado com user local
até coloquei acl safeports e sslports a porta 631 e 515 lpr
mas não rolouExecute um teste "bem simples"… vá até o browser das estações (IE - que o Windows segue segamente na hora de estabelecer conexões TCP/HTTP) e insira a sua rede interna nas exceções.
Veja um exemplo de como fazer isso na tela em anexo (partindo do pressuposto que a sua rede LAN seja 192.168.0.0/24, claro. Se não for, adapte).
Abraços!
Jack
-
Não seria mais fácil criar regras no Firewall para permitir o trafego por essas portas sem passar pelo Squid?
-
-
Não seria mais fácil criar regras no Firewall para permitir o trafego por essas portas sem passar pelo Squid?
Seria LFCavalcanti…
O problema é que, não raras vezes (principalmente em impressoras de rede), a porta de impressão é configurada através de uma conexão HTTP no Windows/Linux. Como o colega está usando proxy autenticado, todas as conexões HTTP/HTTPS (dentre outras) são direcionadas pela estação diretamente para o Squid (na porta em que o serviço está rodando no pfSense - TCP/3128). Por isso, simplesmente uma rule no firewall não resolve.
De duas uma, ou você configura a exceção na estação (como mostrei no outro post) ou cria uma regra específica para a rede local no Squid (como fez o souzalinux)!
Abraços!
Jack
-
…colocar a regra para rede logal no proxy resolveu
Legal souzalinux,
Seria bacana, se possível, que você colocasse aqui no tópico um screenshot da sua configuração para ajudar eventuais colegas que venham a ter a mesma dúvida no futuro!
Abraços!
Jack
-
Fiz exatamente o que você colocou no post, adicionei a rede nas configurações de proxy na GPO e resolveu.
è que aqui são 20 lojas cada uma com seu CUPS conectado no cups da matrix ai que pegou fogo.
mas qualquer coisa estamos ai, fico conectado neste forum o dia todo.
abs e muito obrigado
-
Fiz exatamente o que você colocou no post, adicionei a rede nas configurações de proxy na GPO e resolveu.
Legal souzalinux,
É sempre bacana tentarmos colocar o máximo de informações de retorno/feedback quando resolvemos as "pendengas". Isso garante menos caracteres digitados em futuros posts do gênero! ;)
No seu caso, você conseguiu fazer em função de GPO de um Active Directory presente na sua rede, certo?
Fica a dica a eventuais dúvidas do tipo!
Abraços!
Jack
-
O que ele fez foi modificar ou adicionar uma GPO que força a rede como segura nas estações.
Eu pessoalmente ainda considero essa solução perigosa, pois Malwares e Bots como o Downaup(Cofricker) podem se alastrar facilmente na rede.
Analizando o caso, talvez uma VPN entre as empresas, colocando um Range especifica para os Servidores CUPs seria mais seguro, com isso você pode criar regras especificas de redirecionamento de porta sem atrapalhar o Squid.
Exemplo:
- Criar uma regra de Firewall que permita a passagem das portas da subrede das estações para a subrede do Cups, incluindo a porta 80.
Como o Gateway padrão é o Squid, não haverá problema com a filtragem de conteudo.
-
O que ele fez foi modificar ou adicionar uma GPO que força a rede como segura nas estações.
Bem, se foi isso que o colega executou, não era a ideia. ???
A ideia é apenas não usar proxy (cachê) em conexões internas (para evitar problemas com o serviço de impressão).
Entende-se por rede interna as redes frias do colega (VPN ou local)! ;)
Abraços!
Jack
-
Falha minha, entendi errado, tentei editar a postagem não deixa.
Para criar a tal GPO, no Windows Server 2008:
1- Iniciar>Ferramentas Administrativas>Gerenciameto de Diretiva de Grupo
2- Crie uma nova GPO
3- Abra as Propriedades da GPO
4- Vá em Configurações do Usuário > Diretivas > Configurações do Windows > Manutençao do Internet Explorer > Conexão
5- Clique duas vezes em "Configurações de Proxy"
6- Coloque o IP e Porta do Proxy, selecione a opção "Não usar o Servidor Proxy para endereços locais".
7- Salve e vincule a GPO com a OU onde estão os usuários que utilizarão o Proxy.
-
Show of ball LFCavalcanti!
É isso aí… pra quem tem um AD Windows na rede, fica a dica de automatização da configuração. Aliás, sugestivamente, acho que você poderia escrever até um pequeno tutorial no nosso blog sobre isso LFCavalcanti! ;)
Esta é uma dúvida bem recorrente aqui no fórum!
Abraços!
Jack
