Proxy transparente ou configuração automatica de proxy?

JackL

Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.

Exatamente…

Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!

O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)

Abraços!
Jack

gst.freitas

Rapaz,

Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic,
quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.

Porém o marcelo falou o seguinte.

Resumindo a história.

Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.

Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.

Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.

Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

Ai junto com outro colega do forum deu um nó na cabeça..

Poderia explicar com mais detalhe.. a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??

marcelloc

A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.

A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.

thiagomespb

Então marcelo,

Resumão..

Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
navegador..??

marcelloc

Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.

Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.

thiagomespb

Marcelo,

Traduzindo a sua frase em bom português.

o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(

marcelloc

@thiagomespb:

Marcelo,

Traduzindo a sua frase em bom português.

o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(

Traduzindo para o bom português, o pfsense é firewall e por ser um firewall não deveria ter (ou merecer) um protocolo como netbios rodando nele.

Como qualquer servidor unix, você pode instalar o pacote que quiser, mas estamos falando de segurança antes de falar de funcionalidade.

O dansguardian implementa outros protocolos de autenticação como por exemplo ident, mas a resposta do ident pode ser forjada facilmente.

Por ser um firewall preparado para rodar desde um hardware embarcado até um servidor multicore com vários Gb de ram, a instalação padrão vem enxuta para evitar desperdício de recursos e excesso de serviços habilitados.

gst.freitas

Marcelo,

Vou discordar.. grande parte das UTM existentes no Mercado tem essa integração, posso citar alguns: Livres, Zentyal, Endian, pagos: BRMA, mcafee e o próprio fortigate sem ter que usar um squid fora do applicance..

marcelloc

Se você olhar o proxy que roda em um utm grátis, você vai encontrar o squid e o dansguardian. Eu até recomendo isso para você ver a quantidade de pacotes e serviços que vão embarcados em utm como o endian por exemplo.

EDIT
Leia uma parte da documentação do endian para você ver tudo o que conversamos neste tópico.
http://docs.endian.com/proxy.html

UTMs pagos, não usam software gratuito e portanto tem seu próprio método de autenticação. Especificamente o fortigate comunica via ad(usando ldap) para saber que usuário esta usando determinado ip.

gst.freitas

Marcelo,

É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
ele já vem nativo, vide anexo.

E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.

NTLM.jpg_thumb

marcelloc

@gst.freitas:

Marcelo,

É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
ele já vem nativo, vide anexo.

O problema é basicamente segurança. Mas é claro que cada sysadmin tem sua opinião.

Este tópico mostra com instalar o samba no pfsense
http://forum.pfsense.org/index.php/topic,45828.0.html

@gst.freitas:

E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.

O dansguarian não é gratuito. Isso pode não significar nada para muitos sysadmins brasilieiros, mas entre um software gratuito como o squidguard e um pago, o pessoal do pfsense optou pela solução gratuita.

A beleza de um projeto open source é exatamente esta. Eu precisei que o pfsense fizesse um algo a mais e consegui. Assim como vários outros que contribuiram para o pfsense ser o firewall que é hoje.
O fato de não ter uma interface gráfica não quer dizer que não roda.

Eu uso, aprovo, gosto, indico, ajudo e contribuo com o pfsense. Até hoje pra mim é o firewall mais completo e personalizável que já trabalhei.

Em breve, antes que levantem a bola por aqui, devo publicar um pacote para gerência e replicação de configurações/regras/alias/etc entre vários pfsenses.

thiagomespb

Marcelo,

Eu já testei vários e todos tem prós e contras.. até agora pfsense o melhor de todos..
a faço questão em colocar ele em meus clientes. só ele pode ficar melhor com ajuda dos mantedores.. inclusive você..

babingthon

@thiagomespb:

amigo,

Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.

thiago..

Seguinte thiago, eu fiz aqui as configurações (IIS, DNS e DHCP) no meu servidor 2008 de proxy automatico,

mas antes disso, liguei a minha VM pra ve se tava navegando e estava. ai configurei o IE e firefox pra pegar

configurações automaticas de rede e depois desliguei a VM, concluir a configuração na 2008 e voltei a ligar a

VM e não navegou, so isso!!! pra ter certeza, tirei as configurações do 2008 e reiniciei a VM e navegou normal!!!

vlw… ;D :)

Amandio

Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
Abraço 8)

thiagomespb

@Amandio:

Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
Abraço 8)

Não é possível, tanto squidguard ou dansguardian usa o squid. Estranho esse seu desejo, pq vai de encontro com a grande maioria do sysadmins. Se não deseja fazer cache em algum site, deve informar quais são..

marcelloc

Você pode configurar o squid para não fazer cache.