Transparent proxy



  • Bom dia pessoal,

    Tenho seguinte cenario, possui pfsense intalado com squid e squidguard instalado vou trocar hoje o Endian pelo PFsense… porém encontrei seguinte dificuldade, meus usuario 50% utilizam proxy configurado no browser e 50 % nao possui o proxy configurado no browser, ativei o proxy transparente no servico do squid todas as requisicoes na porta http passa super tranquilo porem preciso que ele libere no proxy transparente a porta https, pois n vou conseguir mudar todos os proxys dos meus usuarios, sei do erro de seguranca que existe n utilizar proxy etc... porém necessito gerar fatos e argumentos ( relatorios ) para depois aplicar medidas cabiveis, o endian esta peduro de + e fora que Pfsense show, ..

    Gostaria da ajuda de vcs liberar mesmo por proxy transparente a requisicao de https, me falaram que necessita liberar no iptables porem n entendo mt de iptables..

    Obs: dscp erro de portugues e acetuacao meu teclado esta todo desconfigurado



  • @marcelo_chfe:

    Tenho seguinte cenario, possui pfsense intalado com squid e squidguard instalado vou trocar hoje o Endian pelo PFsense… porém encontrei seguinte dificuldade, meus usuario 50% utilizam proxy configurado no browser e 50 % nao possui o proxy configurado no browser, ativei o proxy transparente no servico do squid todas as requisicoes na porta http passa super tranquilo porem preciso que ele libere no proxy transparente a porta https, pois n vou conseguir mudar todos os proxys dos meus usuarios, sei do erro de seguranca que existe n utilizar proxy etc... porém necessito gerar fatos e argumentos ( relatorios ) para depois aplicar medidas cabiveis, o endian esta peduro de + e fora que Pfsense show, ..

    Gostaria da ajuda de vcs liberar mesmo por proxy transparente a requisicao de https, me falaram que necessita liberar no iptables porem n entendo mt de iptables..

    Então Marcelo,

    Proxy transparente + HTTPS não funcionam, não por causa do squid e sim pela criptografia do protocolo, ou seja, o squid não conseguira interceptar o pacote https e trata-lo.

    Só é possível proxy transparente com http e alguns outros protocolos não criptografados.

    Se precisa fazer relatorio de acesso https e não quer configurar manualmente os browser's, terá que abordar outro cenário, como o exemplo de uso de script-login, dhcp, etc.. abordado em outro post pelo o seu xará.



  • @Luiz:

    Se precisa fazer relatorio de acesso https e não quer configurar manualmente os browser's, terá que abordar outro cenário, como o exemplo de uso de script-login, dhcp, etc.. abordado em outro post pelo o seu xará.

    Presente de primeiro post  ;)

    http://forum.pfsense.org/index.php/topic,45724.0.html



  • Agora chegamos ao X da questao esses 50% que n tem o proxy configurado sao consultores que vem de outras empresas ou seja n estao no dominio…..:(



  • @marcelo_chfe:

    Agora chegamos ao X da questao esses 50% que n tem o proxy configurado sao consultores que vem de outras empresas ou seja n estao no dominio…..:(

    Então vamos ao gabarito questão, o post que te passei fala exatamente disso.

    usando o browser do consultor com "detectar configurações de proxy" o navegador vai funcionar tanto na sua empresa com proxy configurado quanto em outra sem proxy.



  • Realmente agora que le seu forum…valeuu desculpa pela confusao vou testar e informo posteriormente....



  • ta dificil pessoal acabei de ter informacao que n esta habilidatado o auto detect nos broswer do pessoal



  • @marcelo_chfe:

    ta dificil pessoal acabei de ter informacao que n esta habilidatado o auto detect nos broswer do pessoal

    A questão agora é gerencial, a solução técnica você já tem.



  • n consigo add regra no Iptables? ou direto na console.. ???



  • Como o Luiz Gustavo já explicou, https não funciona transparente.

    Existe uma remota possibilidade da função ssl men in the middle do dansguardian funcionar em modo transparente, mas a questão de filtrar ou não ssl é mais complicada que habilitar uma opção no browser.

    Ps: iptables só tem no Linux, o pfsense é baseado em freebsd(pf + ipfw)



  • @marcelloc:

    Ps: iptables só tem no Linux, o pfsense é baseado em freebsd(pf + ipfw)

    Graças a Deus e aos nossos developers do fbsd  ;D

    e no pfsense, tudo que você precisa fazer em relação a regras de firewall, nat e etc. pode ser feito tudo via webgui ;)

    Não precisa decorar os milhões de opções, etc… do iptables

    Conheça um pouco do PF, lendo o handbook do freebsd:
    http://www.freebsd.org/doc/handbook/firewalls-pf.html
    http://www.freebsd.org/cgi/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=FreeBSD+8.1-RELEASE&arch=default&format=html



  • Obrigado todos pela ajuda, vocês estavam me indiacando caminho correto, por presão para n parar pensar em uma solução vivavel acabei me precipitando…. utilizei como muito bem mencionado assima WPAC, funcionou tanto quem estava marcado auto detect como quem não estava

    Agradeço bastante à todos



  • @marcelo_chfe:

    funcionou tanto quem estava marcado auto detect como quem não estava

    Posta o procedimento do milagre.

    Você configurou o dns+dhcp?



  • Fui buscar uma outra fonte….

    Segue fonte do milagre...
    Funcionou direitinho... se tiver alguma duvida... posso tentar ajudar..conheço + mundo do Windows que do linux pretendo inverter os papeis..rsrsrs

    http://blog.ninjatek.co.za/2010/11/proxy-autodetection-using-pac-file-and.html



  • O doc sugere dns + dhcp e/ou GPO.

    Tres tiros  :D



  • Isso mesmo porém so fiz DHCP e DNS… teoricamente n e necessáro GPO.. funcionou redondo...


Log in to reply